AmadouMan/SOC-Threat-Hunting-LABS

# SOC-Threat-Hunting-LABS awesome-soc-analyst 我们刚刚为 SOC 分析师和 SOC 分析师候选人收集了有用的资源。 目录 书籍 恶意软件分析 实践实验室 钓鱼分析 调查工具 网络日志来源 网络设备日志 Linux 防火墙日志 SMB 日志 Windows 防火墙日志 网络安全设备日志 IDS/IPS 日志 网络防火墙日志 Web 应用防火墙 (WAF) 日志 Web 服务器日志 Apache 日志 IIS 日志 Nginx 日志 取证痕迹 浏览器历史记录和缓存 DNS 缓存/历史记录 Hosts 文件 远程桌面协议 (RDP) 缓存/历史记录/日志 重要的 Windows 调查日志 DLP 日志 端点安全解决方案日志 事件日志 文件完整性监控日志 事件日志 蜜罐日志 MSSQL 日志 Powershell 日志 任务计划程序日志 Windows Defender WMI 日志 Linux 系统日志 Auth 日志 内核日志 Syslog 书籍 Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software Blue Team Field Manual (BTFM) Applied Network Security Monitoring: Collection, Detection, and Analysis Blue Team Handbook: Incident Response Edition: A condensed field guide for the Cyber Security Incident Responder The Practice of Network Security Monitoring: Understanding Incident Detection and Response Jump-start Your SOC Analyst Career: A Roadmap to Cybersecurity Success 恶意软件分析 VirusTotal - 分析可疑文件、域名、IP 和 URL 以检测恶意软件和其他违规行为，并自动与安全社区共享。 Hybrid Analysis - 这是一个面向社区的免费恶意软件分析服务，使用独特的 Hybrid Analysis 技术检测和分析未知威胁。 YARA - YARA 是一个运行在 Windows、Linux 和 Mac OS X 上的多平台程序。 恶意软件分析基础 Cuckoo Sandbox - 您可以将任何可疑文件扔给它，几分钟内 Cuckoo 就会提供一份详细的报告，概述文件在真实但隔离的环境中执行时的行为。 IDA - IDA Pro 作为反汇编器，能够创建其执行映射，以符号表示的形式显示处理器实际执行的二进制指令。 DOCGuard - 零遗漏 Office 恶意软件威胁 Immunity Debugger - Immunity Debugger 是一款动态分析工具，允许使用逆向工程技术在汇编语言级别分析可执行文件。 实践实验室 DetectionLab - DetectionLab 是一个包含各种 Packer、Vagrant、Powershell、Ansible 和 Terraform 脚本的存储库，允许您自动化构建 ActiveDirectory 环境的过程，并使用各种不同平台完成日志记录和安全工具的配置。 LetsDefend - 动手 SOC 分析师培训 attack_range - Splunk Attack Range 是由 Splunk 威胁研究团队维护的开源项目。它构建检测云和本地环境，模拟攻击，并将数据转发到 Splunk 实例。 BlueTeam.Lab - 该项目的目标是为红蓝团队提供部署临时检测实验室的能力，以便在最新的 Windows 环境中测试各种攻击和取证痕迹，并获得生成数据的“SOC 视角”。 钓鱼分析 MxToolbox - 它将按优先级顺序列出域名的 MX 记录。 钓鱼邮件分析课程 - 免费 - 学习如何分析网络安全行业中最常见的攻击媒介。 调查工具 Process Hacker - 用于监控系统和检测可疑情况的绝佳工具。它也是免费的。 Procmon - Procmon（Process Monitor）工具是一个有用的工具，通过监控 Windows 上进程的活动来提供实时信息。 Volatility - Volatility 是一款能够在事件响应过程中分析从受损机器获取的内存转储的工具。 Wireshark - Wireshark 是一款允许捕获、分析和记录通过系统网络接口的网络数据包的工具。 BrowsingHistoryView - 它在一个表格中为您提供不同浏览器的历史记录。 网络日志来源 网络设备日志 网络设备有时会成为攻击者的目标，因为路由器和交换机等网络设备能够进行数据包路由。如果攻击者干扰了此类设备的管理并更改了现有列表，可能会改变攻击的进程和效果。定期检查网络设备的列表以检测这些情况是很有用的。此外，如果设备产生了日志，也应检查这些记录。 Linux 防火墙日志 UFW (Uncomplicated Firewall) 是一个防火墙工具，允许我们在控制台和 GUI（图形界面）上执行端口和防火墙操作。它预装在 Linux 系统中，但必须激活。它像其他防火墙软件一样执行操作。在分析 Linux 系统时，应检查 Linux 防火墙日志。 SMB 日志 服务器消息块 (SMB) 是一种网络协议，可实现服务器和客户端之间的通信。SMB 协议提供对共享文件、网络通信、打印机共享和各种连接的访问。SMB 连接在 Windows 系统上经常使用。其重要性在域环境中尤为明显。SMB 协议被视为攻击者的重要漏洞来源，因此防御方的分析师需要仔细监控。因此，应高优先级检查 SMB 协议日志。 Windows 防火墙日志 Windows 防火墙是 Microsoft 开发的防火墙软件，随操作系统一起安装。Windows 防火墙可以配置传入和传出流量。此配置由规则提供。Windows 防火墙日志是网络可以检查的资源之一。 网络安全设备日志 IDS/IPS 日志 放置在组织内部或组织外部接口的入侵检测和防御 (IDS/IPS) 设备记录有关它们遇到的违规行为的信息。分析师检查这些日志可能会揭示攻击类型以及与攻击相关的一些网络活动。 网络防火墙日志 硬件防火墙设备是首先应对针对机构的攻击并根据特定规则过滤数据包的地方。它们可用于组织的外部，或用于在组织内执行某些网络分段并确保其安全。在这两种情况下，都有可能在这些设备的日志中检测到攻击者的网络活动。这是必须检查的要点之一。 Web 应用防火墙 (WAF) 日志 这是安装在 Web 端的防火墙，用于应对应用层可能发生的威胁。在响应应用层攻击违规时，可以在该部分获取重要的记录。 Web 服务器日志 Apache 日志 Apache 是一款可免费访问的开源 Web 服务器软件。它在 IT 行业广泛使用。它之所以可取，是因为它既可以在 Unix 也可以在 Windows 服务器上运行。Apache Web 服务器软件记录收到的请求的访问日志。它还保留错误日志。必须检查这些日志才能看到针对 Web 服务器的外部威胁。 IIS 日志 IIS (Internet Information Services) 是由 Microsoft 开发并在 Windows 系统中完善的 Web 服务器。它很久以前由 Microsoft 建立并使用。考虑到其在 IT 行业的使用，可以说它是相当常用的。为了看到针对 IIS Web 服务器的攻击和违规企图，必须检查 IIS 的日志。 Nginx 日志 Nginx 是一款性能高得多的 Web 服务器软件，与竞争对手相比，它速度更快且资源消耗更少。由于其普及和广泛使用，可能会针对此 Web 服务器开发许多攻击。为了查看和分析这些攻击，应像处理 Apache 和 IIS Web 服务器那样处理和检查 Web 服务器日志。 取证痕迹 浏览器历史记录和缓存 浏览器是一种可以查看网页的软件。由于攻击者可能在被扣押的系统中使用它，因此在分析阶段应检查可能重要的部分，例如连接到扫描器的地址，因为它们可能包含攻击者的痕迹。 DNS 缓存/历史记录 DNS 缓存是记录系统中查询的 DNS 分析的部分。它可以帮助我们找到攻击者正在使用的命令与控制 (C&C) 中心。必须检查它，因为它可能包含有关攻击的重要信息。 Hosts 文件 Hosts 文件是在参考 DNS 服务器之前开始 DNS 分析以查找 IP 地址的第一个地方之一。在被扣押的系统中，攻击者可能已向该文件添加了新记录。它是取证分析阶段应检查的文件之一，因为它可能包含攻击者的域名或命令控制服务器 IP 地址。 远程桌面协议 (RDP) 缓存/历史记录/日志 RDP 协议是一种能够远程连接到目标系统的协议。在分析的系统中，有关具有 RDP 连接的系统的信息保存在 RDP 缓存中。如果攻击者进行了 RDP 连接，则可以在缓存中获取攻击者的 IP 地址信息。这是分析系统时应检查的要点之一。 重要的 Windows 调查日志 应用程序日志 安装在 Windows 操作系统上的应用程序可能有其自己的特殊日志，这些日志是分析师关于该应用程序应检查的来源。 DLP (数据防泄漏) 日志 DLP 软件是为防止数据泄漏而安装在系统中的安全软件。该软件可以保留其执行的操作的日志，这些日志是分析师为检测违规行为应检查的要点之一。 端点安全解决方案日志 端点安全解决方案是旨在确保安装在最终用户设备上的安全性并减少数据泄漏的安全软件。如果发生违规，该软件可以生成重要且全面的日志。为了解是否发生了违规并查看详细信息，分析师应检查这些日志。 事件日志 事件日志是一个综合资源，收集 Windows 操作系统中包含的系统许多点的日志。这些日志包括各种各样的日志类型。这是安全分析师应检查的最重要的日志来源。 文件完整性监控 (FIM) 日志 文件完整性监控软件是跟踪系统中文件的更改和访问的安全软件。为了在攻击违规时获取有关哪些文件已更改的信息，分析师必须检查这些软件的日志。 蜜罐日志 蜜罐系统是为攻击者专门安装的真实系统副本的陷阱系统。由于蜜罐系统上的攻击方法可能是攻击者可用于真实系统的攻击媒介，因此通过这些系统获得的日志能够针对重大攻击采取措施。因此，这些日志可能包含关键信息。 MSSQL 日志 MSSQL 是 Microsoft 的关系数据库管理系统。它通常用作数据库。查看对 MSSQL 数据库的未授权访问或查看错误消息，审查 MSSQL 数据库的日志非常重要。 Powershell 日志 PowerShell 是一个跨平台任务自动化解决方案，由命令行 Shell、脚本语言和配置管理框架组成。PowerShell 可在 Windows、Linux 和 macOS 上运行。攻击者通常首选它，因为使用 PowerShell 进行的攻击可能更有效。必须检查 Powershell 的日志，以检测系统中运行的有害命令并揭示攻击。 任务计划程序日志 计划任务在 Windows 中用于在特定时间执行特定操作。渗透系统的入侵者可以使用它来确保持久性。分析师可以在保护系统和检测攻击时检查计划任务的日志。 Windows Defender Windows Defender 是 Windows 操作系统随附的负责保护系统免受攻击者和恶意软件侵害的最基本结构。与 Windows Defender 的扫描或发现相关的日志可能包含一些重要细节。因此，检查此部分的日志可以提供与攻击细节相关的新信息。 WMI 日志 WMI (Windows 管理规范) 是一种几乎可以在 Windows 操作系统中控制每个对象的技术，并且可以在操作系统中执行操作和管理功能。可以使用 WMI 命令在系统上执行的操作很多，如果攻击者在系统中运行了 WMI 命令，则必须检查和评估 WMI 的日志。 Linux 系统日志 Auth 日志 记录成功或不成功登录和身份验证过程的日志文件称为 Auth 日志。Auth 日志文件可以看到针对重要帐户的攻击企图，在 Linux 系统的检查中占有重要地位。 内核日志 这是保留内核的警告、信息和错误记录的文件。通常在与内核相关的错误情况下进行检查。 Syslog 在 Linux 系统中，显示有关系统的一般信息和消息的日志来源称为 syslog。它是研究 Linux 系统的首要点之一。

标签：AI合规, Ask搜索, Burp Suite 替代, BurpSuite集成, Conpot, Cuckoo沙箱, DAST, DNS 反向解析, EDR, IP 地址批量处理, SOC分析师, VirusTotal, Web服务器日志, Windows安全, YARA, 云资产可视化, 内核模块, 域环境安全, 子域枚举, 安全培训, 安全实验室, 安全资源, 安全运营中心, 恶意软件分析, 数字取证, 渗透测试防御, 网络安全, 网络安全审计, 网络安全监控, 网络映射, 脆弱性评估, 自动化脚本, 蓝队手册, 计算机应急响应, 钓鱼分析, 防火墙日志, 隐私保护, 驱动开发