browndarwin231-Tech/Darwin-TryHackMe-SOC-Simulator-Lab
GitHub: browndarwin231-Tech/Darwin-TryHackMe-SOC-Simulator-Lab
该项目是一个 TryHackMe SOC 模拟器实操实验室,通过模拟真实安全告警调查工作流帮助学习者实践安全运营中心分析师的核心技能。
Stars: 0 | Forks: 0
# Darwin-TryHackMe-SOC-Simulator-Lab
TryHackMe SOC 模拟器实操实验室,利用真实的安全调查工作流,演示了钓鱼调查、告警分类、Sysmon 日志分析、事件响应、误报验证、真阳性检测以及 SOC 案例报告。
## 概述
本项目通过 TryHackMe SOC 模拟器演示了安全运营中心 (SOC) 分析师的实操技能。该实验室侧重于调查钓鱼邮件、分析 Windows Sysmon 日志、验证告警、区分真阳性与误报、记录事件报告以及遵循事件响应生命周期。
在整个调查过程中,利用日志数据和辅助证据对告警进行了分析,以确定安全事件是代表合法威胁还是正常的系统活动。
## 展示技能
- 安全告警分类
- 事件调查
- 钓鱼邮件分析
- Sysmon 日志分析
- 进程调查
- 父子进程分析
- 真阳性识别
- 误报验证
- 事件记录
- SOC 案例报告
- 威胁狩猎
- 安全运营工作流
## 使用技术
- TryHackMe SOC 模拟器
- Windows Sysmon
- 安全信息和事件监控 (SIEM)
- 事件响应
- 威胁狩猎方法论
# 调查工作流
1. 访问 SOC 模拟器仪表板。
2. 查看传入的安全告警。
3. 调查钓鱼邮件告警。
4. 检查 Windows Sysmon 进程事件。
5. 区分真阳性和误报。
6. 记录事件发现。
7. 凭借支持证据关闭告警。
8. 完成模拟并查看分析师绩效指标。
# 截图
## 1. SOC 模拟器主页
打开 TryHackMe SOC 模拟器并查看了钓鱼调查场景。

## 2. 接收告警
查看了等待分析师调查的新生成的安全告警。

## 3. 日志分析
分析了安全事件日志,以识别可疑活动并收集证据。

## 4. 调查
利用事件信息和辅助日志数据对告警进行了详细调查。

## 5. 确认威胁
通过调查期间收集的证据验证了恶意活动。

## 6. 关闭告警
完成了事件记录并关闭了已调查的告警。

## 7. 第二个告警
调查了模拟期间生成的其他安全告警。

## 8. 进程调查
利用 Sysmon 事件数据审查了可疑的 Windows 进程,并分析了父子进程关系。

## 9. SOC 模拟器结果
完成了 SOC 模拟并查看了分析师的整体表现,包括真阳性率、误报率、平均解决时间 (MTTR) 以及已调查的告警总数。

## 关键收获
- 调查了钓鱼邮件活动。
- 利用 Sysmon 验证了可疑进程活动。
- 区分了恶意活动与合法的 Windows 进程。
- 执行了事件分类和记录。
- 实践了企业环境中使用的 SOC 分析师工作流。
- 通过基于证据的调查提高了检测准确性。
## 学习成果
本项目通过在模拟的企业环境中提供真实告警调查、钓鱼分析、事件响应程序、进程监控和安全事件记录的实操经验,增强了实用的 SOC 分析师技能。
作者:Darwin Brown JR.
有志成为 SOC Tier 1
标签:SOC模拟器, Sysmon, 子域枚举, 安全运营, 库, 应急响应, 扫描框架, 钓鱼分析