khojazahersediqi-svg/SOC-Incident-Investigation

GitHub: khojazahersediqi-svg/SOC-Incident-Investigation

一个模拟安全运营中心事件调查全流程的网络安全学习项目,展示从告警分类到 MITRE ATT&CK 映射的完整 SOC 分析工作流。

Stars: 0 | Forks: 0

# SOC-Incident-Investigation 本项目模拟了真实的安全运营中心(SOC)调查,涵盖告警分类、日志分析、威胁验证、IOC 分析、MITRE ATT&CK 映射、根因分析以及事件记录。 # SOC 事件调查与威胁分析 ## 项目概述 本项目模拟了安全运营中心(SOC)的事件调查。它展示了分析安全告警、调查可疑事件、识别失陷标 IOC、构建事件时间线、将攻击者行为映射到 MITRE ATT&CK 以及记录调查结果的过程。 ## 项目目标 - 分析安全告警 - 执行告警分类 - 调查安全日志 - 识别可疑活动 - 提取失陷标 IOC - 构建事件时间线 - 执行根因分析 - 将攻击者行为映射到 MITRE ATT&CK - 记录事件发现 ## 调查工作流 告警检测 → 分类 → 日志分析 → IOC 识别 → 时间线分析 → MITRE ATT&CK 映射 → 根因分析 → 事件报告 ## 事件场景 发现了一起涉及异常身份验证活动和异常网络事件的可疑安全告警。通过关联安全日志、分析可疑行为以及识别潜在的失陷标 IOC,对该事件进行了调查。 ## 关键发现 调查主要集中在异常登录活动、可疑网络行为、事件关联以及潜在的失陷标 IOC 上。 ## MITRE ATT&CK 映射 在调查过程中识别出的攻击者行为被映射到相关的 MITRE ATT&CK 战术和技术。 ## 项目截图 ![告警分析](https://raw.githubusercontent.com/khojazahersediqi-svg/SOC-Incident-Investigation/main/Screenshots/alert-analysis.png) ![日志调查](https://raw.githubusercontent.com/khojazahersediqi-svg/SOC-Incident-Investigation/main/Screenshots/log-investigation.png) ![事件时间线](https://raw.githubusercontent.com/khojazahersediqi-svg/SOC-Incident-Investigation/main/Screenshots/incident-timeline.png) ![最终报告](https://raw.githubusercontent.com/khojazahersediqi-svg/SOC-Incident-Investigation/main/Screenshots/final-report.png) ## 展示的技能 SOC 运营 事件调查 告警分类 日志分析 威胁检测 IOC 分析 事件响应 根因分析 MITRE ATT&CK 安全文档 ## 经验总结 本项目强化了我在安全调查方面的分析方法,并提升了我在 SOC 环境中对基于证据的事件分析的理解。 ## 免责声明 本项目使用模拟的安全数据创建,仅用于教育和网络安全培训目的。 ## 作者 Khwaja Zaher Sediqi 网络安全与有志成为 SOC 分析师爱好者
标签:ATT&CK映射, BurpSuite集成, IP 地址批量处理, PE 加载器, 威胁情报, 安全运营中心, 库, 应急响应, 开发者工具, 数字取证, 网络映射, 自动化脚本, 速率限制处理, 防御加固