Nervi0z/btl1-field-notes

GitHub: Nervi0z/btl1-field-notes

面向蓝队 SOC 分析师的实战参考资料库,涵盖钓鱼分析、威胁情报、数字取证、SIEM、网络分析和应急响应六大领域的速查表与工作流笔记。

Stars: 97 | Forks: 25

btl1-field-notes

一个围绕 BTL1 五大领域构建的实用参考资料。包含速查表、检测工作流、CLI 参考和调查笔记——专为在活跃的实验环节中使用而写,而非为了考前被动阅读。 如果你正处于调查中途,需要某个过滤器、查询模式或快速取证参考,这里就是你要 grep 的地方。 ## 领域
领域 覆盖内容
Phishing Analysis 大多数事件的起点。邮件头检查、发件人身份验证分析、URL 扩展追踪、附件分类及提取工作流。
Threat Intelligence IOC 丰富化、TTP 映射到 MITRE ATT&CK、攻击者画像、扩展追踪技术。
Digital Forensics 磁盘和内存分析——NTFS 取证、注册表文件、文件雕刻、Volatility 模块参考。
SIEM Analysis 日志关联、SPL 查询模式、ECS 字段映射、常见攻击场景的检测逻辑。
Network Analysis PCAP 检查、BPF 过滤器、协议异常检测、C2 流量模式。
Incident Response IR 生命周期、Windows 和 Linux 的实时分类命令、抑制和根除步骤。
## 仓库结构 ``` . ├── 00_Introduction_BTL1/ # exam format, philosophy, strategy, personal experience ├── 01_Phishing_Analysis/ # header analysis, attachment triage, detection workflows ├── 02_Threat_Intelligence/ # IOC management, ATT&CK TTP mapping ├── 03_Digital_Forensics/ │ ├── 02_Disk_Analysis/ # NTFS artifacts, registry hives, file carving │ └── 03_Memory_Analysis/ # Volatility profiles, injection detection ├── 04_SIEM_Analysis/ # SPL query structures, log correlation rules ├── 05_Network_Analysis/ # BPF filters, protocol anomalies, PCAP carving └── 06_Incident_Response/ # IR lifecycle, containment, live response ``` ## 本地搜索 所有内容均为纯 Markdown。克隆一次,即可在实验期间进行 grep——无需设置,无依赖。 ``` git clone https://github.com/Nervi0z/btl1-field-notes cd btl1-field-notes ``` ``` # 按 Windows Event ID 搜索 grep -rnw . -e 'EventCode=4624' # 查找 Volatility 3 module 语法 grep -rnw 03_Digital_Forensics/ -e 'windows.malfind' # 查询 SPL patterns grep -rnw 04_SIEM_Analysis/ -e 'stats count by' # 跨钓鱼参考资料搜索 grep -rnw 01_Phishing_Analysis/ -e 'Return-Path' ``` ## 从这里开始 ## 贡献 欢迎修正语法、更新工具参考以及提供新的查询模式。在提交 PR 之前,请阅读 `CONTRIBUTING.md`。 ``` git checkout -b fix/spl-execution-queries git commit -m "siem: update sysmon execution detection rules" git push origin fix/spl-execution-queries ```
内容范围与 NDA 须知 本仓库仅包含通用技术文档和开源工具参考。 不包含也不会接受任何专有的 BTL1 考试内容、实验室基础设施细节或受限的 Security Blue Team 资料——以符合 SBT NDA 条款。包含此类内容的 Pull Request 将不经审查直接关闭。
MIT License · 详情见 `LICENSE`。
标签:Beacon Object File, BTL1, CheatSheet, CISA项目, Conpot, DNS 反向解析, Grep, HTTP工具, IP 地址批量处理, meg, PCAP分析, PE 加载器, Ruby, SecList, SPL查询, TGT, Tier 1, Windows安全, 一线分析师, 信息安全, 内存取证, 取证调查, 后渗透, 威胁情报, 子域名变形, 安全运营, 实战笔记, 库, 应急响应, 开发者工具, 扫描框架, 搜索语句(dork), 攻防演练, 数字取证, 文库, 文档结构分析, 无线安全, 检测规则, 流量嗅探, 目录遍历, 知识库, 系统分析, 网络信息收集, 网络分析, 网络安全, 网络安全审计, 网络资产发现, 自动化脚本, 蓝队实战, 速查表, 钓鱼分析, 防御加固, 隐私保护