MathewNowend/SOC-Analyst-Field-Manual

GitHub: MathewNowend/SOC-Analyst-Field-Manual

一份基于真实防御经验编写的 SOC 分析师实战参考手册,涵盖事件调查、检测工程和威胁狩猎的可复用工作流与查询示例。

Stars: 0 | Forks: 0

# SOC 分析师实战手册 ## 关于本项目 《SOC 分析师实战手册》是一个原创的开源知识库,旨在记录现代安全运营中心 (SOC) 所使用的实际调查工作流。 本项目不仅仅关注理论,更侧重于: - 事件调查方法论 - 检测工程 - 威胁狩猎 - 日志分析 - MITRE ATT&CK 映射 - Windows 事件 ID - Microsoft Defender XDR - Microsoft Sentinel (KQL) - Splunk SPL - Sigma Rules - PowerShell - Linux 调查 - Active Directory 安全 - 云安全调查 每份指南均从防御者的角度编写,旨在提供可适应实际企业环境的、可复用的调查流程。 ## 项目目标 ✔ 构建完整的 SOC 分析师参考手册 ✔ 记录真实的调查工作流 ✔ 提供实用的检测逻辑 ✔ 创建可复用的 playbook ✔ 帮助学生为胜任 SOC 角色做准备 ✔ 随着新的攻击技术和检测方法不断扩展 ## 仓库结构 ``` SOC-Analyst-Field-Manual docs/ playbooks/ queries/ sigma/ kql/ splunk/ powershell/ bash/ windows/ diagrams/ assets/ ``` ## 计划中的 Playbook - 钓鱼调查 - 恶意软件调查 - 暴力破解检测 - 提权 - 数据泄露 - Web 应用程序攻击 - 勒索软件 - PowerShell 滥用 - 内部威胁 - Living Off The Land (LOLBins) - 持久化检测 - 横向移动 - Active Directory 沦陷 - 云安全事件 - USB 设备调查 ## 涵盖主题 - 安全运营中心基础 - MITRE ATT&CK 框架 - 检测工程 - 威胁情报 - IOC 收集 - IOA 分析 - 事件响应 - 威胁狩猎 - Windows 日志记录 - Sysmon - Microsoft Defender - Wazuh - Splunk - Microsoft Sentinel - Sigma Rules - PowerShell - Linux - 数字取证 ## 状态 🚧 正在进行中 本手册正在积极开发和扩展中。 ## 作者 **Mathew S. Nowend** 网络安全 • 蓝队 • 检测工程 • 技术文档 GitHub: https://github.com/MathewNowend ## 许可证 MIT License ## 免责声明 本仓库仅供防御性网络安全教育使用。 此处提供的信息旨在改进检测、调查、事件响应和防御性安全运营。 除了理解、检测和缓解攻击所必需的内容外,不包含任何攻击性工具或恶意技术。 © 2026 Mathew S. Nowend
标签:AI合规, BurpSuite集成, 域环境安全, 安全运营中心, 库, 应急响应, 应用安全, 管理员页面发现, 网络映射, 防御加固