salahalsabhi/-Security-Operations-Center-SOC-Bootcamp--Cybersecurity-Learning-Journey
GitHub: salahalsabhi/-Security-Operations-Center-SOC-Bootcamp--Cybersecurity-Learning-Journey
一个记录五天安全运营中心(SOC)训练营学习过程的综合笔记仓库,涵盖蓝队方法论、事件响应、SIEM日志分析、恶意软件调查与威胁情报等防御性安全知识。
Stars: 0 | Forks: 0
🛡️ 安全运营中心 (SOC) 训练营 —— 网络安全学习之旅
# 📖 概述
本仓库记录了我在 **ThinkCloudly** 组织的**安全运营中心 (SOC) 训练营**期间学到的所有内容。
在为期五天的密集培训中,训练营重点关注 SOC 分析师的日常职责、现代防御性安全运营、事件响应工作流、网络威胁检测、SIEM 技术、恶意软件分析,以及蓝队专业人士的求职准备。
本次培训将理论知识与实际演示及真实的网络安全场景相结合,为有志成为 SOC 分析师的人员打下了坚实的基础。
# 🎯 训练营目标
本次训练营旨在向学员介绍:
- 安全运营中心 (SOC) 基础知识
- 蓝队方法论
- 威胁检测
- 事件响应
- SIEM 技术
- 日志分析
- 恶意软件调查
- 威胁情报
- 网络杀伤链
- 安全监控
- SOC 职业路线图
# 📅 训练营日程
## 🛡️ 第一天 —— 安全运营中心 (SOC) 基础知识
第一天介绍了现代安全运营中心背后的核心概念及其在企业网络安全中的作用。
### 涵盖主题
- 安全运营中心简介
- SOC 的目的
- SOC 架构
- 安全监控
- 事件检测
- SOC 团队内部的角色
- SOC 分析师的职责
- 安全运营工作流
- 威胁检测生命周期
- 事件响应流程
### 核心学习成果
- 了解 SOC 团队的运作方式
- 持续监控的重要性
- SOC 组织架构
- 安全事件分诊
- 升级处理流程
- 安全监控生命周期
# ⚔️ 第二天 —— 网络杀伤链
第二天重点讲解如何使用洛克希德·马丁公司 (Lockheed Martin) 的网络杀伤链框架来理解攻击者行为。
## 七个阶段
1. 侦察
2. 武器化
3. 投递
4. 漏洞利用
5. 安装
6. 命令与控制 (C2)
7. 目标行动
## 实践主题
- 将攻击映射到杀伤链
- 勒索软件攻击生命周期
- 识别攻击者行为
- 每个阶段的防御性控制措施
- 威胁狩猎技术
## 掌握的技能
- 威胁建模
- 攻击分析
- 防御性安全策略
- 检测工程
- 安全监控
# 📊 第三天 —— 使用 Splunk Enterprise 进行日志分析
本次训练营最具实用性的课程之一,重点是使用 Splunk Enterprise 进行 SIEM 技术和安全日志分析。
## 涵盖主题
- 为什么日志很重要
- Windows 事件日志
- Linux 日志
- 身份验证日志
- 防火墙日志
- Web 服务器日志
- IDS/IPS 日志
- DNS 日志
- 代理日志
## Splunk Enterprise
实操活动包括:
- 搜索日志
- 过滤事件
- 关联分析
- 构建查询
- 检测暴力破解攻击
- 调查可疑的身份验证尝试
## 实用技能
- SIEM 运营
- 事件关联
- 日志解析
- 搜索处理语言 (SPL)
- 安全事件调查
# 🦠 第四天 —— 恶意软件分析
第四天介绍了恶意软件分析的基础知识和调查流程。
## 涵盖主题
- 恶意软件基础知识
- 恶意软件类别
- 感染媒介
- 攻陷指标 (IOC)
- 静态分析
- 动态分析
- 恶意软件调查工作流
## 恶意软件类型
- 木马
- 蠕虫
- 病毒
- 勒索软件
- 间谍软件
- Rootkit
- 广告软件
- 键盘记录器
## 调查技术
- 文件检查
- Hash 分析
- 行为分析
- 沙箱概念
- 进程分析
# 🧠 第五天 —— SOC 大师课
最后一天将之前所有的主题结合成完整的 SOC 调查工作流。
## 威胁情报
涵盖的主题包括:
- 威胁情报
- 威胁情报源
- 攻陷指标 (IOC)
- MITRE ATT&CK 概述
- 战术、技术和程序 (TTP)
## 事件响应工作流
涵盖的事件生命周期包括:
1. 准备
2. 识别
3. 遏制
4. 根除
5. 恢复
6. 经验教训
同时还强调了事件后报告、更新安全控制措施以及加强防御的重要性。 :contentReference[oaicite:0]{index=0}
## 真实 SOC 案例
实践练习演示了:
- 告警调查
- 日志关联
- IOC 验证
- 威胁狩猎
- 事件分析
- 根本原因识别
- 报告
# 📚 学到的其他主题
在整个训练营和配套的 SOC 电子书期间,我还学习了:
## 威胁狩猎
- 主动发现威胁
- 网络流量分析
- 内存取证
## 事件响应
- 检测
- 遏制
- 恢复
- 文档记录
## SIEM
- 集中式日志收集
- 关联分析
- 告警
- 监控
## 威胁情报
- 威胁情报源
- IOC 丰富化
- TTP 分析
## 安全指标
重要的 SOC 性能指标包括:
- 平均检测时间 (MTTD)
- 平均响应时间 (MTTR)
- 平均遏制时间 (MTTC)
- 恢复正常平均时间 (MTTN)
- 事件遏制率
- 事件恢复时间
- 单次事件成本 :contentReference[oaicite:1]{index=1} :contentReference[oaicite:2]{index=2}
# 🛠️ 工具与技术
在本次训练营中,我接触到了:
- Splunk Enterprise
- SIEM 平台
- 威胁情报平台
- 端点检测与响应 (EDR)
- 网络监控
- 事件响应平台
- 日志分析工具
电子书还强调了 SIEM、SOAR、行为分析和威胁情报是现代 SOC 团队使用的核心技术。 :contentReference[oaicite:3]{index=3}
# 🎓 强化的技能
- 安全运营中心 (SOC)
- 蓝队运营
- 事件响应
- 安全监控
- 威胁检测
- 威胁狩猎
- 威胁情报
- 网络杀伤链
- 恶意软件分析
- 日志分析
- SIEM 运营
- Splunk Enterprise
- IOC 分析
- 事件关联
- 告警调查
- 数字取证基础
- 风险评估
- 安全监控
- 防御性安全
- 安全运营工作流
# 💡 核心要点
- 安全运营中心是组织网络防御的支柱。
- 持续监控可显著缩短事件检测和响应时间。
- SIEM 解决方案可提供跨企业环境的集中可见性。
- 威胁情报使防御者能够更有效地识别攻击者行为。
- 恶意软件分析有助于防御者了解对手的能力。
- 事件响应需要结构化的程序以将对业务的影响降至最低。
- 日志分析仍然是 SOC 分析师最有价值的技能之一。
- 了解攻击者的方法体系可提升防御能力。
- 现代网络安全依赖于主动监控而非被动防御。
# 🚀 职业影响
完成本次训练营巩固了我对现代安全运营中心的理解,并强化了入门级 SOC 分析师角色所需的实用技能。
这段经历拓展了我在以下方面的知识:
- 蓝队运营
- 安全监控
- 威胁检测
- 事件调查
- SOC 工作流
- 安全分析
- 网络防御
它还让我深入了解了专业 SOC 团队在检测、调查和响应网络安全威胁时所使用的工具、方法和最佳实践。
# 📜 证书
成功完成了**安全运营中心 (SOC) 训练营**,并获得了由 **ThinkCloudly** 颁发的官方**参与证书**,以表彰我对为期五天的培训项目的投入与顺利完成。
# 🙏 致谢
特别感谢 **ThinkCloudly** 及所有讲师,他们带来了一场结构合理、注重实践且引人入胜的训练营,为安全运营中心工作流、事件响应、威胁检测以及现代防御性网络安全实践提供了宝贵的见解。
# 📌 结论
本次训练营很好地介绍了安全运营中心 (SOC) 的运营以及网络安全的防御层面。通过将理论概念与实际演示及真实案例研究相结合,加深了我对 SOC 团队如何检测、调查和响应网络威胁的理解。
在整个培训中获得的知识,为追求蓝队安全与安全运营的职业生涯奠定了坚实的基础,同时也为未来学习威胁狩猎、数字取证、检测工程和安全自动化等高级主题做好了准备。
LinkedIn: [https://www.linkedin.com/feed/update/urn:li:activity:7480190771904643072/]
X: [https://x.com/charisma1385/status/2074425482771144756]
#️⃣ #CyberSecurity #SOC #SOCAnalyst #BlueTeam #ThreatDetection #IncidentResponse #ThreatHunting #ThreatIntelligence #Splunk #SIEM #MalwareAnalysis #LogAnalysis #DigitalForensics #InfoSec #SecurityOperations #DetectionEngineering #DefensiveSecurity #CyberDefense #LearningInPublic #ThinkCloudly #OpenToWork #CareerDevelopment #ContinuousLearning
标签:AMSI绕过, BurpSuite集成, DNS通配符暴力破解, 威胁检测, 子域枚举, 学习笔记, 安全运营中心, 网络映射, 速率限制