Ctum0/SOC-Investigation-Portfolio

GitHub: Ctum0/SOC-Investigation-Portfolio

该仓库是一个基于真实攻击场景的SOC调查作品集,展示了从证据收集到MITRE ATT&CK映射的完整事件响应流程和专业报告能力。

Stars: 0 | Forks: 0

# SOC 调查作品集 ## 关于 本仓库展示了基于真实攻击场景的实战 SOC 调查。每项调查都遵循与安全运营中心 (SOC) 分析师在事件响应期间所用方法相似的结构化流程。 其目的是展示调查能力——而不仅仅是工具使用。 每个案例都侧重于收集证据、验证指标、重建攻击时间线、将攻击者行为映射到 MITRE ATT&CK 框架,并生成专业的调查报告。 ## 展示技能 - 事件调查 - 网络流量分析 - 网络取证 - 威胁狩猎 - IOC 提取与验证 - 威胁情报 - 时间线重建 - MITRE ATT&CK 映射 - 安全报告 - 根本原因分析 ## 调查方法论 每项调查都遵循相同的结构化工作流: 1. 初步评估 2. 证据收集 3. IOC 提取 4. 威胁情报富化 5. 时间线重建 6. MITRE ATT&CK 映射 7. 调查报告 这种标准化的方法论确保了每项调查都是可重复的、文档齐全的且由证据驱动的。 ## 调查路线图 | 状态 | 调查 | 类别 | |---------|--------------|----------| | ⏳ | 恶意软件感染调查 | 网络 | | ⏳ | 身份验证与凭据滥用 | 网络 | | ⏳ | 数据外发调查 | 网络 | | ⏳ | 钓鱼调查 | 电子邮件 | | ⏳ | Windows 入侵调查 | 端点 | | ⏳ | Linux 入侵调查 | 端点 | | ⏳ | 完整攻击链调查 | SOC 顶点项目 | ## 工具 本作品集使用的行业标准工具包括: - Wireshark - NetworkMiner - VirusTotal - AbuseIPDB - WHOIS - CyberChef - MITRE ATT&CK - Any.Run(视情况而定) ## 收集的证据 根据调查的不同,证据可能包括: - 网络捕获 (PCAP) - 网络会话 - 协议分析 - IP 地址 - 域名 - URL - 文件哈希 - 凭据 - 电子邮件标头 - 系统日志 - 时间线痕迹 ## 调查交付物 每项已完成的调查都包含: - 执行摘要 - 调查目标 - 收集的证据 - 技术发现 - IOC 表格 - 时间线重建 - MITRE ATT&CK 映射 - 建议 - 结论 每项调查中均包含了支持性的屏幕截图。 ## 仓库结构 ``` SOC-Investigation-Portfolio/ │ ├── methodology/ ├── network-investigations/ ├── email-investigations/ ├── endpoint-investigations/ └── attack-chain-investigations/ ``` ## 免责声明 所有调查均使用公开可用的数据集、实验室环境或故意设置了漏洞的系统进行,仅供教育和作品集展示之用。未对生产系统进行过任何未经授权的测试。 ## 作者 **Ctum** 网络安全专业本科生 | 有志成为 SOC 分析师 | 事件响应与威胁检测爱好者
标签:ATT&CK映射, SOC分析, 事件调查, 库, 应急响应, 数字取证, 网络流量分析, 自动化脚本, 速率限制处理