3v1l1/SOC-Enterprise-Investigation
GitHub: 3v1l1/SOC-Enterprise-Investigation
该项目模拟企业级网络攻击的完整生命周期,为 SOC 分析师提供从钓鱼邮件检测到事件响应的端到端安全调查实战演练环境。
Stars: 0 | Forks: 0
# SOC 企业级调查
## 项目概述
本项目演示了 SOC 分析师如何使用企业级安全工具和行业标准方法来调查真实的网络攻击。
该调查涵盖了完整的攻击生命周期,从初始的钓鱼邮件到事件响应与恢复。
## 目标
- 模拟企业级网络攻击
- 使用 SIEM 调查安全事件
- 执行日志分析与威胁狩猎
- 检测恶意活动
- 提取威胁指标 (IOC)
- 将攻击者技术映射到 MITRE ATT&CK
- 生成专业的事件报告
## 实验环境
| 组件 | 用途 |
|-----------|---------|
| Windows 11 | 受害者工作站 |
| Kali Linux | 攻击者机器 |
| Ubuntu Server | 辅助 Linux 主机 |
| Security Onion | 网络监控与检测 |
| Splunk | SIEM 与日志分析 |
| Sysmon | Windows 端点日志记录 |
| Zeek | 网络可见性 |
| Suricata | 入侵检测系统 |
| Wireshark | 数据包分析 |
## 调查工作流
```
Phishing Email
│
▼
Initial Access
│
▼
PowerShell Execution
│
▼
Persistence
│
▼
Network Communication
│
▼
SOC Detection
│
▼
Threat Hunting
│
▼
IOC Extraction
│
▼
MITRE ATT&CK Mapping
│
▼
Incident Response
│
▼
Lessons Learned
```
## 仓库结构
```
SOC-Enterprise-Investigation/
├── Architecture/
├── Detection-Rules/
│ ├── Sigma/
│ ├── Splunk/
│ └── YARA/
├── Incident-Report/
├── IOC/
├── Lessons-Learned/
├── Logs/
│ ├── Linux/
│ ├── Suricata/
│ ├── Sysmon/
│ ├── Windows/
│ └── Zeek/
├── MITRE/
├── PCAP/
├── Screenshots/
└── Timeline/
```
## 展示技能
- 安全运营中心 (SOC)
- 事件响应
- 威胁狩猎
- SIEM 分析
- 日志分析
- 网络安全监控
- 检测工程
- Linux 管理
- Windows 安全
- Python 自动化
- MITRE ATT&CK
- IOC 分析
## 当前状态
**阶段 1 — 项目规划** 🚧
调查环境目前正在准备中。
后续阶段包括:
- 实验架构
- 攻击模拟
- 检测工程
- 威胁狩猎
- 事件调查
- 总结报告
## 作者
**Sanchit**
GitHub: https://github.com/3v1l1
标签:Metaprompt, SOC分析, 安全实验环境, 安全运营, 库, 应急响应, 扫描框架, 逆向工具