MathewNowend/SOC-Analyst-Field-Manual
GitHub: MathewNowend/SOC-Analyst-Field-Manual
一份基于真实防御经验编写的 SOC 分析师实战参考手册,涵盖事件调查、检测工程和威胁狩猎的可复用工作流与查询示例。
Stars: 0 | Forks: 0
# SOC 分析师实战手册
## 关于本项目
《SOC 分析师实战手册》是一个原创的开源知识库,旨在记录现代安全运营中心 (SOC) 所使用的实际调查工作流。
本项目不仅仅关注理论,更侧重于:
- 事件调查方法论
- 检测工程
- 威胁狩猎
- 日志分析
- MITRE ATT&CK 映射
- Windows 事件 ID
- Microsoft Defender XDR
- Microsoft Sentinel (KQL)
- Splunk SPL
- Sigma Rules
- PowerShell
- Linux 调查
- Active Directory 安全
- 云安全调查
每份指南均从防御者的角度编写,旨在提供可适应实际企业环境的、可复用的调查流程。
## 项目目标
✔ 构建完整的 SOC 分析师参考手册
✔ 记录真实的调查工作流
✔ 提供实用的检测逻辑
✔ 创建可复用的 playbook
✔ 帮助学生为胜任 SOC 角色做准备
✔ 随着新的攻击技术和检测方法不断扩展
## 仓库结构
```
SOC-Analyst-Field-Manual
docs/
playbooks/
queries/
sigma/
kql/
splunk/
powershell/
bash/
windows/
diagrams/
assets/
```
## 计划中的 Playbook
- 钓鱼调查
- 恶意软件调查
- 暴力破解检测
- 提权
- 数据泄露
- Web 应用程序攻击
- 勒索软件
- PowerShell 滥用
- 内部威胁
- Living Off The Land (LOLBins)
- 持久化检测
- 横向移动
- Active Directory 沦陷
- 云安全事件
- USB 设备调查
## 涵盖主题
- 安全运营中心基础
- MITRE ATT&CK 框架
- 检测工程
- 威胁情报
- IOC 收集
- IOA 分析
- 事件响应
- 威胁狩猎
- Windows 日志记录
- Sysmon
- Microsoft Defender
- Wazuh
- Splunk
- Microsoft Sentinel
- Sigma Rules
- PowerShell
- Linux
- 数字取证
## 状态
🚧 正在进行中
本手册正在积极开发和扩展中。
## 作者
**Mathew S. Nowend**
网络安全 • 蓝队 • 检测工程 • 技术文档
GitHub:
https://github.com/MathewNowend
## 许可证
MIT License
## 免责声明
本仓库仅供防御性网络安全教育使用。
此处提供的信息旨在改进检测、调查、事件响应和防御性安全运营。
除了理解、检测和缓解攻击所必需的内容外,不包含任何攻击性工具或恶意技术。
© 2026 Mathew S. Nowend
标签:AI合规, BurpSuite集成, 域环境安全, 安全运营中心, 库, 应急响应, 应用安全, 管理员页面发现, 网络映射, 防御加固