LakshmiPriyaBhimireddy/SOC-with-IBM-QRADAR-SPLUNK-SIEM-
GitHub: LakshmiPriyaBhimireddy/SOC-with-IBM-QRADAR-SPLUNK-SIEM-
一个系统化的 SOC 安全分析师学习资源库,涵盖 SIEM 操作、威胁情报、事件响应等蓝队核心技能的笔记与实操记录。
Stars: 0 | Forks: 0
# 🛡️ SOC Analyst 学习仓库(IBM QRadar 与 Splunk)
## 📖 概述
欢迎来到我的 SOC(安全运营中心)学习仓库。
本仓库记录了我学习 SOC 运营、IBM QRadar、Splunk、Threat Intelligence、Incident Response 和 Blue Team 概念的过程,内容包含笔记、实验、动手实践和实际示例。
建立此仓库的目的是巩固我的网络安全知识,同时保持结构化的学习记录。
# 🎯 学习目标
- 了解安全运营中心 (SOC)
- 学习 Linux 与网络基础
- 分析网络威胁与攻击
- 调查日志与安全事件
- 使用 IBM QRadar SIEM
- 学习 Splunk 搜索处理语言 (SPL)
- 研究 Threat Intelligence
- 实践 Incident Response
- 探索 SOAR 和 Microsoft Sentinel
# 📚 课程模块
## 1️⃣ SOC 简介
- 安全运营中心概述
- SOC 的重要性和优势
- SOC 能力
- SOC 工作流
- Linux 基础
- 网络基础
## 2️⃣ 解析网络威胁
### 网络层威胁
- 网络扫描
- 端口扫描
- 中间人攻击 (MITM)
- 数据包嗅探
- 拒绝服务攻击
### Web 应用程序攻击
- 跨站脚本攻击 (XSS)
- SQL 注入
- 目录遍历
- 文件包含
### 基于主机的攻击
- Malware
- 权限提升
- 暴力破解
- 网络钓鱼
- 数据泄露
### 网络分析工具
- Wireshark
- tcpdump
## 3️⃣ 事件与日志管理
- Linux 系统日志
- Linux 服务日志
- Windows 事件日志记录
- Sysmon
- 事件查看器
- journalctl
- rsyslog
- 了解日志来源
- 检测可疑活动
## 4️⃣ SIEM 基础
- SOC 团队中的角色
- Cyber Kill Chain
- MITRE ATT&CK 框架
- MITRE D3FEND 矩阵
- Elastic Stack (ELK)
## 5️⃣ IBM QRadar SIEM
- 调查日志
- 流量分析
- Ariel 查询语言 (AQL)
- 仪表盘创建
- 报告生成
- 资产管理
- Offense 管理
## 6️⃣ Splunk
- Splunk 应用
- 插件
- 数据接入
- 搜索数据
- 搜索处理语言 (SPL)
- 仪表盘
- 数据透视
- 知识对象
- 警报生成
## 7️⃣ Threat Intelligence
- 网络威胁情报 (CTI)
- Threat Hunting
- IOC
- IOA
- IOE
- Malware 分析
- VirusTotal
- 静态分析
- 动态分析
- 编写 YARA 规则
## 8️⃣ Incident Response
- Incident Response 基础
- 事件处理流程
- Incident Response 工作流
- Wazuh (EDR/XDR)
- SOAR
- SOAR Playbooks
- Jira 工单系统
- Microsoft Sentinel
# 📂 仓库结构
```
SOC-IBM-QRadar-Splunk
│
├── 01-SOC-Fundamentals
├── 02-Linux-Fundamentals
├── 03-Networking
├── 04-Cyber-Threats
├── 05-Log-Management
├── 06-SIEM
├── 07-IBM-QRadar
├── 08-Splunk
├── 09-Threat-Intelligence
├── 10-Incident-Response
├── Labs
├── Resources
└── README.md
```
# 🛠️ 涵盖工具
- IBM QRadar
- Splunk
- Wireshark
- tcpdump
- Sysmon
- 事件查看器
- journalctl
- rsyslog
- VirusTotal
- Wazuh
- Jira
- Microsoft Sentinel
- Elastic Stack (ELK)
# 💻 获得的技能
- Linux 管理
- 网络
- 日志分析
- SIEM 操作
- Threat Detection
- Incident Response
- Threat Intelligence
- Malware 分析
- 安全监控
- Blue Team 运营
# 📈 仓库进度
| 模块 | 状态 |
|---------|--------|
| SOC 基础 | ✅ 已完成 |
| Linux 基础 | 🔄 进行中 |
| 网络基础 | 🔄 进行中 |
| 网络威胁 | ⏳ 待开始 |
| 日志管理 | ⏳ 待开始 |
| SIEM 基础 | ⏳ 待开始 |
| IBM QRadar | ⏳ 待开始 |
| Splunk | ⏳ 待开始 |
| Threat Intelligence | ⏳ 待开始 |
| Incident Response | ⏳ 待开始 |
# 🚀 未来更新
- 动手实验
- 检测规则
- QRadar AQL 查询
- Splunk SPL 查询
- SOC 调查笔记
- MITRE ATT&CK 映射
- Incident Response Playbooks
- YARA 规则
- Malware 分析报告
- 仪表盘截图
# 📌 作者
**Lakshmi Priya**
B.Tech - 计算机科学(网络安全)
热衷于 Blue Teaming、SOC 运营、Threat Detection 和 Incident Response。
⭐ 如果您觉得这个仓库有用,欢迎点个 Star!
标签:IBM QRadar, 威胁情报, 安全学习笔记, 安全运营中心, 库, 应急响应, 开发者工具, 网络映射