TryHackMe-SOC-Section 2：SOC团队内部

目录

• Section 2：SOC团队内部
  • SOC L1 警报分类
    • 介绍
    • 事件和报警
      • 从事件到警报
      • L1 在警报分诊中的作用
    • 警报属​​性
    • 警报优先级
      • • 选择合适的警报
    • 警报分类
      • • 初步行动
        • 调查
        • 最终行动
      • 结论
  • SOC L1 警报报告
    • 介绍
    • 预警漏斗
    • 报告指南
      • 报告格式
    • 升级指南
      • 请求二级支持
      • SOC控制面板升级
    • SOC通信
      • 沟通案例
      • L2 沟通
    • 结论
  • SOC 工作簿和查找
    • 介绍
    • 资产与身份
      • 身份清单
      • 资产清单
    • 网络图
    • 练习册理论
      • SOC工作簿
      • 工作簿示例
    • 练习
  • SOC指标和目标
    • 介绍
    • 核心指标
      • 警报数量
      • 假阳性率
      • 警报升级率
      • 威胁检测率
    • 分诊指标
      • 参考表
    • 改进指标
      • • 参考表
    • 练习

Section 2：SOC团队内部

探索 SOC 分析师必备的技能，帮助您在真实的 SOC 环境中对警报进行分类、分级和升级。

SOC L1 警报分类

介绍

警报是任何安全运营中心 (SOC)团队的核心概念，能否正确处理警报最终决定了安全漏洞能否被检测和预防，还是会被遗漏并造成灾难性后果。本课程是SOC L1 分析师入门阶段必不可少的学习内容，旨在帮助他们理解警报的概念和生命周期，从事件生成到正确解决。

• 学习目标

  • 熟悉SOC警报的概念
  • 探索警报字段、状态和分类
  • 学习如何作为一级分析师执行警报分类
  • 使用真实警报和SOC工作流程进行练习

• SOC仪表盘
  您已获得TryHackMe SIEM中SOC控制面板的访问权限，您需要使用它来完成大部分任务。请在新窗口中打开附件网站，熟悉其功能，然后继续执行下一个任务！
  

事件和报警

想象一下，你是一名安全运营中心(SOC)实习生，正看着你的导师——一位SOC一级或二级分析师——的显示器，屏幕上不断出现数百条警报，它们在不同的状态下移动，最终从某个仪表盘或控制台中消失。你注意到很多名为“电子邮件被标记为钓鱼邮件”的警报，一些名为“异常的 Gmail 登录位置”的警报，以及一条令人担忧的、位于红色列中的“未经授权的 Mimikatz 使用”警报。这些警报是什么？它们是如何生成的？我们应该如何处理它们？让我们一起来一探究竟！

从事件到警报

首先，必须发生某个事件，例如用户登录、进程启动或文件下载。然后，系统（例如操作系统、防火墙或云服务提供商）必须记录该事件。之后，所有系统日志必须发送到安全解决方案，例如SIEM或EDR。SOC团队每天会收到来自数千个不同系统的数百万条日志，其中大多数事件都在预期之内，但有些事件需要特别关注。 警报（由安全解决方案在特定事件或事件序列发生时生成的通知）通过突出显示可疑的异常事件，使SOC分析师无需手动审查日志。有了警报，分析师每天只需处理几十条警报，而不是数百万条原始日志。

警报管理平台

解决方案	示例	描述
SIEM 系统	Splunk ES、  Elastic	SIEM具有强大的告警管理功能，是大多数SOC团队的理想选择。
EDR或 NDR	微软Defender， CrowdStrike	虽然EDR和 NDR 都提供各自的告警仪表盘，但最好还是使用SIEM或SOAR。
SOAR 系统	Splunk SOAR、 Cortex SOAR	规模更大的安全运营中心 (SOC)团队可以使用SOAR来聚合和集中来自多个解决方案的警报。
ITSM 系统	Jira、 TheHive	有些团队可能使用专用解决方案设置自定义工单管理（ITSM） （上面的 GIF 取自 Trello，这是一个可以根据ITSM需求进行调整的简单工具）。

L1 在警报分诊中的作用

SOC L1分析师是第一道防线，也是处理警报最多的人员。根据各种因素，L1分析师每天可能会收到零到一百条警报，每条警报都可能揭示一次网络攻击。尽管如此，SOC团队中的每个人都以某种方式参与到警报的分类处理中：

• SOC L1 分析师： 审核警报，区分真假，并在发现真实威胁时通知 L2 分析师。
• SOC L2分析师： 接收L1分析师升级的警报，并进行更深入的分析和补救。
• 安全运营中心工程师： 确保警报包含有效警报分类所需的足够信息
• 安全运营中心经理： 跟踪警报分级处理的速度和质量，确保不会遗漏真正的攻击。

---

请回答以下问题。
您在上图安全运营中心（SOC）控制面板 中看到多少条警报？

5

您看到的最新警报名称是什么？

Double-Extension File Creation

警报属​​性

既然您已经了解了警报的生成方式，现在是时候了解它们的内容了。虽然每个SIEM或安全解决方案的具体细节有所不同，但警报通常具有一些您必须在处理之前理解的主要属性。如果您发现某些内容难以理解，请不要担心，因为您将在接下来的任务中了解更多相关信息。

警报属​​性

编号	财产	描述	示例
1	警报时间	显示警报创建时间。警报通常会 在实际事件发生几分钟后触发。	- 警报时间：3月21日15:35 - 事件时间：3月21日15:32
2	警报名称	根据检测规则的名称，提供事件概要。	- 异常登录位置 - 标记为钓鱼邮件 - Windows RDP暴力破解 - 潜在数据泄露
3	警报严重程度	定义警报的紧急程度， 最初由检测工程师设定， 但分析人员可根据需要进行更改。	- （🟢）低/信息量 - （🟡）中等/中级 - （🟠）高/严重 - （🔴）紧急/危急
4	警报状态	告知是否有人正在处理警报 或分类处理是否已完成。	- （🆕）新增/未分配 - （🔄）进行中/待定 - （✅）已关闭/已解决 - 以及其他自定义状态
5	警示判决	也称为警报分类， 用于说明警报是真正的威胁还是噪音。	- （🔴）真阳性/真实威胁 - （🟢）误报/无威胁 - 以及其他自定义判决
6	警觉受让人	显示被指派或自行指派审核警报的分析师。	- 受让人有时也可被称为有意识的所有者 - 受让人对其发出的警报负责。
7	警报描述	解释警报内容， 通常分为右侧的三个部分。	- 警报生成规则的逻辑 - 为什么这种活动可能预示着攻击？ - （可选）如何对此警报进行分类
8	警示字段	提供安全运营中心分析师的评论 以及触发警报所依据的值。	- 受影响的主机名 - 进入命令行 - 还有更多，具体取决于警报情况。

---

翻译如下

请回答以下问题。
“异常 VPN 登录位置”警报的最终结论是什么？

# 简称fp
False Positive

“异常 VPN 登录位置”警报中提到的用户是哪位？

M.Clark

警报优先级

好了，现在您可以阅读并理解警报了。接下来呢？回想一下第二个任务，您会看到数百条警报，但必须选择优先处理哪些。决定处理哪些警报的过程称为警报优先级排序，它对于确保及时发现威胁至关重要，尤其是在警报队列中有很多警报的情况下。

选择合适的警报

每个安全运营中心 (SOC)团队都会制定自己的优先级规则，通常通过在安全信息和事件管理 (SIEM)或事件响应 (EDR) 系统中设置相应的告警排序逻辑来实现自动化。以下是通用、最简单且最常用的方法：

1. 筛选警报。
   请确保不要接收其他分析师已经审核过或正在由您的团队成员调查的警报。您应该只接收新的、尚未被发现和解决的警报。
2. 按严重程度排序。
   首先是严重警报，然后是高危、中危，最后是低危警报。这是因为检测工程师设计的规则使得严重警报更有可能是真实存在的重大威胁，并且比中危或低危警报造成更大的影响。
3. 按时间排序，
   从最早的警报开始，到最新的警报结束。这样做的目的是，如果两条警报都与两起数据泄露事件有关，那么较早泄露事件中的黑客可能已经在窃取您的数据，而“新来者”可能才刚刚开始调查。

---

请回答以下问题。

是否应该优先处理中等严重程度的警报，而不是低严重程度的警报？(Yea/Nay)

yea

应该先处理最新的提醒，然后再处理较旧的提醒吗？(Yea/Nay)

nay

将自己分配给优先级最高的警报，并将其状态更改为 “进行中”。
您选择的警报名称将作为问题的答案。

Potential Data Exfiltration

警报分类

最后，您现在可以审核选定的警报了！整个过程操作起来比较繁琐，但您很快就会明白每一步的重要性。另外需要注意的是，安全运营中心 (SOC)分析师的警报审核也可以称为警报分类、警报处理、警报调查或警报分析。在本模块中，我们将重点介绍 “警报分类” 这一选项。

初步行动

初始步骤旨在确保您负责处理分配的警报，避免干扰其他分析师正在处理的警报，并确认您已做好充分准备进行详细调查。具体操作方法是：首先将警报分配给自己，将其状态更改为“进行中”，然后熟悉警报详情，例如警报名称、描述和关键指标。

调查

这是最复杂的一步，需要您运用技术知识和经验来理解活动，并在SIEM或EDR日志中正确分析其合法性。为了帮助一级分析师完成这一步骤，一些团队会开发工作簿（也称为剧本或运行手册）——其中包含如何调查特定类别警报的说明。如果没有工作簿，以下是一些关键建议：

1. 了解哪些对象受到威胁，例如受影响的用户、主机名、云平台、网络或网站。
2. 请注意警报中描述的具体操作，例如是否为可疑登录、恶意软件或网络钓鱼。
3. 回顾事件始末，查找警报发出前后是否存在可疑行为。
4. 使用威胁情报平台或其他可用资源来验证你的想法。

最终行动

您在此处做出的决定将决定您是否发现了潜在的网络攻击。一些操作，例如“升级”或“添加评论”，将在后续章节中进行解释，所以如果您现在觉得它们很复杂，请不要担心。首先，请判断您调查的警报是恶意的（真阳性）还是非恶意的（假阳性）。然后，请准备详细的评论，解释您的分析步骤和判断依据，返回控制面板并将其状态更改为“ 已关闭”。

SOC仪表板说明

如果在初步评估后没有收到任何标记，则表示您设置的值有误。
您可以通过点击 TryHackMe SIEM右上角的“重启”按钮来重置SOC控制面板。

---

请回答以下问题。
操作教程：
编辑，然后根据你的分析填写即可

• 分析结束就close，真实攻击还是fp误报
  

---

在正确处理了第一优先级警报后，您收到了哪个标志？

THM{looks_like_lots_of_zoom_meetings}

---

在正确处理二级警报后，您收到了哪个标志？

THM{how_could_this_user_fall_for_it?}

---

在正确处理三级警报后，您收到了哪个标志？

THM{should_we_allow_github_for_devs?}

结论

恭喜您成功完成警报分类！当然，将警报标记为“真阳性”并不能阻止攻击，但这无疑是一个良好的开端。接下来，您将学习如何正确评论警报和报告案例、正确的升级流程，以及二级分析师在升级后采取的行动。

SOC L1 警报报告

介绍

在警报分级处理期间或之后，一级分析师可能不确定如何对警报进行分类，需要高级分析师的支持或系统所有者的信息。此外，一级分析师可能还会处理需要立即关注和补救措施的真实网络攻击和数据泄露事件。本会议室将通过引入三个新术语来探讨这些情况：警报报告、升级和沟通。

• 学习目标
  • 了解安全运营中心 (SOC)警报报告和升级的必要性
  • 学习如何正确编写警示评论或案例报告。
  • 探索升级方法和最佳沟通实践
  • 运用所学知识在模拟环境中对警报进行分类

预警漏斗

在上一节课中，您学习了如何对警报进行分类和优先级排序。但您可能想知道接下来会发生什么。您的优先级排序如何帮助预防威胁和阻止安全漏洞？这是一个全新的主题，我们将在本节课中详细讲解，但现在，让我们先回顾一下警报的处理流程。

首先，一级分析师会在安全信息和事件管理(SIEM)、事件检测与响应 (EDR)系统或工单管理平台中收到警报。大多数警报会被判定为误报或在一级层面处理，但复杂且具有威胁性的警报会被发送到二级团队，由他们负责修复大多数安全漏洞。要进一步发送警报，您需要了解三个新术语：报告、升级和沟通。

• 警报报告
  在关闭警报或将其上报至二级支持之前，您可能需要先提交报告。根据团队标准和警报严重程度，您可能需要详细记录调查过程，确保包含所有相关证据，而不是仅提供简短的警报评论。对于需要升级处理的“真阳性”警报，这一点尤为重要。

• 警报升级
  如果真阳性警报需要采取额外措施或进行更深入的调查，请按照既定流程将其上报给二级分析师进行进一步审核。这时，您的警报报告就派上用场了，因为二级分析师可以利用它来获取初步背景信息，从而减少从头开始分析所需的时间。

• 沟通
  在分析过程中或分析结束后，您可能还需要与其他部门沟通。例如，询问 IT 团队是否确认已授予某些用户管理权限，或者联系人力资源部门以获取有关新入职员工的更多信息。

---

请回答以下问题。

将可疑警报传递给二级分析师进行审核的流程是什么？

# 升级
Alert Escalation

正式描述警报详情和调查结果的流程是什么？

# 告警报告
Alert Reporting

报告指南

在继续讨论之前，必须先明确为什么需要一级分析师除了将报告标记为真阳性或假阳性之外，还要撰写报告，以及为什么这个话题不容忽视。一级分析师撰写警报报告有几个关键目的：

警报报告目的	解释
为事态升级提供背景信息	- 一份撰写良好的报告可以为二级分析师节省大量时间。 - 此外，这也有助于他们快速了解发生了什么。
保存调查结果以作记录	- 原始SIEM日志保存3-12个月，但警报会无限期保留。 - 因此，为了以防万一，最好将所有上下文信息都保留在警告框内。
提高调查技能	- 如果你不能用简单的语言解释清楚，说明你理解得还不够透彻。 - 撰写报告是提升L1技能的好方法，它可以通过总结警报信息来实现。

报告格式

设想一下，您是一名二级分析师、数字取证与事件响应(DFIR)团队成员或需要了解警报信息的 IT 专业人员。您希望在报告中看到哪些内容？我们建议您遵循 “5W”原则，并在报告中至少包含以下内容：

• 谁：哪个用户登录、运行命令或下载文件
• 内容：具体执行了什么操作或事件顺序？
• 时间：可疑活动究竟何时开始和结束。
• 位置：警报涉及哪个设备、IP 地址或网站
• 原因：最重要的“W”，即你做出最终决定的理由。
  

---

请回答以下问题。

根据上图的安全运营中心（SOC）的仪表盘显示，是哪个用户的电子邮件地址泄露了敏感文件？

m.boslan@tryhackme.thm

查看新发出的警报，可疑的、可能是钓鱼邮件的“发件人”是谁？

support@microsoft.com

打开钓鱼警报，阅读详细信息，并尝试理解其活动。
使用“5W”模板，在撰写一份合格的报告后，你发现了什么警示信号？

# There was an email being send from support@microsoft.com to e.huffman@tryhackme.thm on 27th Mar 2025 at 19:25 time. Both DKIM and SPF factors has been failed.

THM{nice_attempt_faking_microsoft_support}

升级指南

在您做出判断并撰写警报报告后，必须决定是否将警报升级到 L2 层。同样，不同团队的答案可能有所不同，但以下建议通常适用于大多数SOC团队。如果出现以下情况，您应该升级警报：

1. 该警报表明发生了重大网络攻击，需要进行更深入的调查或数字取证与事件响应 (DFIR)。
2. 需要采取补救措施，例如清除恶意软件、隔离主机或重置密码。
3. 需要与客户、合作伙伴、管理层或执法机构进行沟通。
4. 你对警报内容理解得不够透彻，需要资深分析师的帮助。

• 升级步骤
  大多数情况下，要升级警报，只需将警报重新分配给当班的二级支持人员，并通过公司聊天或当面通知他们即可。但在某些团队中，您可能需要创建一份正式的书面升级请求，其中包含数十个必填字段。
  
  无论协议如何，L2 团队最终都会收到您提交的工单，阅读您的报告，并在有任何疑问时与您联系。一切就绪后，L2 分析师通常会进一步调查警报详情，验证警报是否确为真阳性，必要时与其他部门沟通，对于重大事件，则会启动正式的 事件响应流程。

请求二级支持

如果遇到不清楚的地方，L1通常可以向高级支持人员寻求帮助。尤其是在入职初期，与其盲目地关闭自己不理解的警报，不如先讨论警报内容并澄清SOC流程。寻求支持的流程可能有所不同，但通常流程如下：

SOC控制面板升级

1. 撰写警报报告并提供您的结论；将警报状态更改为 “处理中” 。
2. 将警报分配给当班的二级领导。二级领导将收到通知并从你的报告开始处理。

---

请回答以下问题。
在SOC 控制面板中，您目前可以分配（升级）警报的L2 负责人是谁？

E.Fleming

将上一个任务中的警报正确升级到 L2 后，您收到了什么标志？
注意： 如果您之前已正确升级警报，只需编辑警报并再次单击“保存”即可。

comment里面填写上次填的就行：
There was an email being send from support@microsoft.com to e.huffman@tryhackme.thm on 27th Mar 2025 at 19:25 time. Both DKIM and SPF factors has been failed.

拿到的flag：THM{good_job_escalating_your_first_alert}

现在，请调查队列中的第二个新警报，并提供详细的警报注释。
然后，决定是否需要升级此警报，并按照流程继续操作。
完成初步评估后，您应该会收到一个标记，那就是您的答案！

comment 填写如下：
"There are execution of commands found in host DMZ-MSEXCHANGE-2013 with OS : Windows Server 2012 R2 on 27th Mar 2025 at 19:56.
Looks like some commands related to the system, and commands related to getting details of the AD users from the server is being run.
The w3wp.exe looks like command to handle the web requests and the revshell.exe and powershell.exe are the apps used to run these commands from the web requests."

拿到的flag为：THM{looks_like_webshell_via_old_exchange}

SOC通信

升级和报告流程应该对您来说简单明了、合乎逻辑。但是，正如常言所说，说起来容易做起来难，您应该做好应对意外情况的准备，并了解在紧急情况下该如何应对。理想情况下，安全运营中心 (SOC)团队拥有自己的危机沟通程序——指导方针和流程，可以帮助您和您的团队成员解决问题。如果没有，建议您阅读以下案例，并做好有效应对的准备。

沟通案例

• 您需要上报一个紧急的关键警报，但二级支持人员无法接听电话，且30分钟内没有回应。
  请确保您知道如何找到紧急联系人。首先尝试联系二级支持人员，然后是三级支持人员，最后是您的经理。

• 关于 Slack/Teams 帐户被盗用的警报要求您与受影响用户验证登录信息。
  请勿通过被盗用的聊天记录联系用户，请使用其他联系方式，例如电话。

• 短时间内您会收到大量警报，其中一些至关重要。
  请根据工作流程对警报进行优先级排序，但务必将情况告知当班的二级技术支持人员。

• 几天后，你意识到自己错误地将警报分类，很可能错过了恶意攻击。
  立即联系你的二级支持人员，说明你的担忧。威胁行为者可能在发动攻击前数周都保持沉默。

• 由于SIEM日志解析不正确或无法搜索，您无法完成警报分类
  。请不要忽略此警报，请尽可能进行调查，并将问题报告给值班的 L2 技术支持或SOC工程师。

L2 沟通

请回答以下问题。
遇到重大威胁时，是否应该首先尝试联系你的经理(Yea/Nay)?

nay

如果您认为自己错过了攻击，是否应该立即联系您的二级指挥官(Yea/Nay)?

yea

结论

学习了三项重要的安全运营中心 (SOC)技能：告警报告、升级和沟通，做得非常棒。这些技能对于任何一级分析师都至关重要：告警报告有助于为二级分析师保留和提供活动上下文；升级确保威胁得到及时消除；沟通则使安全运营中心与其他部门之间的协调更加清晰有效。

SOC 工作簿和查找

介绍

警报分类是一个复杂的过程，通常需要分析人员收集有关受影响员工或服务器的更多信息。本房间将探讨旨在简化警报分类的SOC工作簿，并解释各种查找方法，以便快速检索用户和系统上下文。

• 学习目标
  • 熟悉SOC调查工作手册
  • 了解如何在安全运营中心 (SOC)中查找和使用资产清单。
  • 了解企业网络图的重要性
  • 在交互式界面中构建实践工作流程

资产与身份

想象一下，你值夜班时收到一条警报，显示 G.Baker 登录了 HQ-FINFS-02 服务器。然后，该用户从服务器下载了“Financial Report US 2024.xlsx”文件并将其分享给了 R.Lund。为了正确评估警报并了解此活动是否在预期之内，你需要找到许多问题的答案：

• G.Baker是谁？他的工作时间和在公司担任什么职务？
• HQ-FINFS-02 的用途和位置是什么？哪些人可以访问它？
• R.Lund 为什么需要查阅公司财务记录？

身份清单

身份清单是一份企业员工（用户帐户）、服务（机器帐户）及其详细信息（例如权限、联系人和公司内角色）的目录。对于上述场景，身份清单可以帮助您了解 G.Baker 和 R.Lund 的背景信息，并简化判断该活动是否在预期之内的过程。

---

身份示例

姓名	用户名	电子邮件	角色	地点	使用权
格雷戈里·贝克	G.贝克	g.baker@tryhatme.thm​	首席财务官	欧洲，英国	VPN、总部、财务
雷蒙德·伦德	R.伦德	r.lund@tryhatme.thm​	美国金融顾问	美国德克萨斯州	VPN，金融
凯特·丹纳	K.丹纳	k.danner@tryhatme.thm​	首席技术官	欧洲，英国	VPN、DA、总部、AWS
svc-veeam-06	svc-veeam-06	不适用	备份服务帐户	不适用	VEEAM、DMZ、总部
svc-nginx-pp	svc-nginx-pp	不适用	Web 应用程序服务帐户	不适用	非军事区

---

身份的来源

解决方案	示例	描述
活动目录	本地部署AD，Entra ID	AD本身就是一个身份数据库，通常被安全运营中心（SOC）使用。
单点登录提供商	Okta、Google Workspace	云端AD替代方案，一种轻松管理和搜索用户的方法。
人力资源系统	BambooHR、SAP、HiBob	仅限员工查看，但通常提供完整的员工数据
定制解决方案	CSV 或 Excel 表格	IT 或安全团队维护自己的解决方案是很常见的做法。

资产清单

资产清单（也称资产查找）列出了组织 IT 环境中所有计算资源。需要注意的是，“资产”一词含义宽泛，可以指软件、硬件或员工，但本文档仅强调服务器和工作站。以上述场景为例，资产清单可以帮助您了解 HQ-FINFS-02 服务器的相关信息。

资产示例

主机名	地点	IP地址	操作系统	所有者	目的
HQ-FINFS-02	英国数据中心	172.16.15.89	Windows Server 2022	中央信息技术部	用于财务记录的文件服务器
HQ-ADDC-01	英国数据中心	172.16.15.10	Windows Server 2019	中央信息技术部	主AD域控制器
PC-891D	伦敦办事处	192.168.5.13	Windows 11 专业版	技术支持	会计师专用台式电脑
L007694	偏僻的	不适用	macOS 13	A. Kelly，DevOps	公司笔记本电脑
L005325	偏僻的	不适用	macOS 13	J.Eldridge，人力资源部	公司笔记本电脑

资产来源

解决方案	示例	描述
活动目录	本地部署AD，Entra ID	AD不仅是一种身份标识，也是一个可靠的资产清单数据库。
SIEM或EDR	Elastic、CrowdStrike	某些SIEM或EDR代理会收集有关受监控主机的信息。
MDM解决方案	MS Intune、Jamf MDM	专为列出和管理资产而创建的一类专用解决方案
定制解决方案	CSV 或 Excel 表格	与身份清单一样，定制解决方案也很常见。

请回答以下问题。
查看公司人员名单，R.Lund 在公司中担任什么角色？

# 美国金融顾问
US Financial Adviser

检查资产清单，HQ-FINFS-02 服务器存储哪些数据？

# 用于财务记录的文件服务器
Financial records

最后，从场景描述来看，文件共享是否合法且符合预期？(Yea/Nay)

Yea

网络图

继续探讨身份和资产清单相关话题，您可能还需要从网络角度查看警报，尤其是在大型公司中。设想这样一种场景：您正在基于防火墙日志调查一系列相关警报，并希望了解您看到的IP 地址的含义：

1. 08:00：IP 地址103.61.240.174通过TCP /10443端口反复连接到企业防火墙。
2. 08:23：防火墙日​​志显示 IP 地址 103.61.240.174 被转换为内部IP 地址10.10.0.53。
3. 08:25：IP 地址 10.10.0.53 正在扫描172.16.15.0/24网络范围，但未找到开放端口。
4. 08:32：同一IP地址正在扫描172.16.23.0/24网段，攻击似乎仍在进行中。

要调查上述案例，您需要找出 10443 端口上运行的服务以及连接该端口的原因。然后，确定 IP 地址 10.10.0.53 所属的子网，以及它为何会尝试连接到其他子网。网络拓扑图（一种展示现有位置、子网及其连接的可视化示意图）可以解答您的问题：

根据公司规模和结构的不同，您可能会看到更复杂的网络拓扑图，但它们对安全运营中心 (SOC)分析师的用途始终如一——帮助理解可疑的网络活动。在我们的场景中，您可以参考网络拓扑图，并按如下方式重构攻击路径：

1. IP 地址为 103.61.240.174 的威胁行为者对VPN进行了暴力破解攻击，目标是vpn.tryhatme.thm。
2. 在成功实施暴力破解并登录VPN后，攻击者获得了VPN子网中的一个 IP 地址。
3. 然后，攻击者试图扫描数据库子网，但很可能被防火墙规则阻止了。
4. 由于未能找到目标，攻击者转而攻击办公室子网，寻找下一个目标。

---

请回答以下问题。

根据网络拓扑图，TCP/10443 端口暴露的是哪项服务？

vpn

那么，IP地址为172.16.15.99的服务器属于哪个子网呢？

database subnet

最后，这种情况看起来像是真阳性（TP）还是假阳性（FP）？

# 都爆破vpn进来了，还FP呢？肯定TP真攻击了
TP

练习册理论

借助资产清单和网络拓扑图，您可以获得关于用户、主机或 IP 地址的足够上下文信息。接下来，您的任务是判断所观察到的活动是否安全。对于某些警报，分析很简单，但有些警报可能需要数十个关键步骤，必须严格遵循这些步骤，以避免遗漏重要细节和混淆攻击证据。那么，如何确保始终遵循所有分析步骤呢？

SOC工作簿

安全运营中心 (SOC)工作手册，也称为剧本、运行手册或工作流程，是一份结构化文档，它定义了高效、一致地调查和修复特定威胁所需的步骤。由于一级分析师被视为初级专家，无需完美地对每一种可能的攻击场景进行分类，因此高级分析师通常会编写工作手册来支持经验不足的团队成员。建议（有时甚至要求）一级分析师严格按照工作手册对警报进行分类，以避免错误并简化分析流程。

工作簿示例

非常规登录位置工作簿

上图是一个典型的调查工作簿示例，旨在帮助一级分析师对异常电子邮件、网页或企业VPN登录警报进行分类。大多数工作簿图表都配有详细的文字指南和指向相关资源的链接。此外，请注意工作簿是如何分为三个逻辑组的。按照正确的步骤顺序操作，可以确保高质量的警报分类，并避免在证据不足的情况下做出错误判断：

1. 信息丰富化：利用威胁情报和身份清单获取受影响用户的信息
2. 调查：利用收集到的数据和SIEM日志，判断此次登录是否属于预期行为。
3. 升级：如有必要，将警报升级至二级支持或与用户沟通登录信息。

---

请回答以下问题。

SOC 中的哪个角色最常使用工作簿（例如 SOC 经理）？

SOC L1 Analyst

使用 TI 和查找来收集用户、主机或 IP 上下文的过程是什么？

# 这个看Threat Intelligence处于的这一层叫Enrichment Stage
Enrichment

以工作簿示例为例，身份清单来源使用的是哪个平台？

# 这个看Threat Intelligence 的上一步即可
BambooHR

练习

不同的团队在构建工作簿方面有不同的方法。有些团队可能会针对每一种可能的检测规则创建数百个复杂的工作簿，更像是安全运营自动化响应(SOAR)流程手册，而不是人工指导手册。而另一些团队可能只会针对最常见的攻击向量准备几个高级别的工作簿，更多地依赖一级分析师的经验和决策。无论如何，作为一级分析师，您都应该知道如何将调查工作分解成模块化的部分，并围绕这些模块构建简单的工作簿。

---

完成第一本练习册后，你收到了什么标志？

THM{the_most_common_soc_workbook}

---

完成第二本练习册后，你收到了什么标志？

THM{be_vigilant_with_powershell}

---

完成第三本练习册后，你收到了什么标志？

THM{asset_inventory_is_essential}

SOC指标和目标

介绍

与其他部门一样，安全运营中心 (SOC)团队的效率也可以通过不同的指标和衡量标准来衡量。本会议室将探讨最常用的评估方法，例如平均故障检测时间 (MTTD)和平均修复时间 (MTTR)，并介绍改进这些指标的方法以及忽略它们可能导致的后果。

• 学习目标
  • 了解SLA、MTTD、MTTA和MTTR的概念。
  • 了解假阳性率的重要性
  • 了解一级分析师如何改进各项指标
  • 实践如何管理SOC团队绩效指标

核心指标

首先，让我们回顾一下安全运营中心 (SOC)的主要目标——保护组织数字资产的机密性、完整性和可用性。SOC团队通过开发、接收和分类警报来实现这一目标。在此过程中，一级分析师的职责是可靠地将真阳性结果报告给更高层级的二级分析师。由此引出了前四个指标：

指标	公式	措施
警报数量	AC = Total Count of Alerts Received	SOC分析师的总体工作量
假阳性率	FPR = False Positives / Total Alerts	警报中的噪声水平
警报升级率	AER = Escalated Alerts / Total Alerts	L1分析师的经验
威胁检测率	TDR = Detected Threats / Total Threats	SOC团队的可靠性

警报数量

想象一下，你开始上班时发现队列里有 80 条未解决的警报。这无疑会让人应接不暇，而且很容易忽略隐藏在大量垃圾警报背后的真正威胁。另一方面，想象一下整整一周都没有警报。乍一看似乎不错，但实际上也令人担忧，因为警报数量过低可能表明 SIEM 系统存在问题或缺乏可见性，从而导致未被发现的安全漏洞。理想的指标值取决于公司规模，但一般来说，每位 L1 分析师每天 5 到 30 条警报是一个不错的指标。

假阳性率

如果 80 个警报中有 75 个（94%）被确认为误报，例如系统噪音或典型的 IT 活动，这对您的团队来说是一个糟糕的信号。噪音越多，分析师的警惕性就越低，越容易漏掉威胁，并将所有警报都视为“又一个垃圾邮件”。0  % 的误报率是一个无法实现的理想目标，但 80% 或更高的误报率则是一个严重的问题，通常需要通过工具和检测规则的调整来解决，这通常被称为“误报修复”。

警报升级率

L2分析师依靠L1分析师过滤掉无关信息，只将真正具有实际意义的威胁警报上报。同时，作为L1分析师，您也不应过于自信，在没有高级分析师支持的情况下，擅自处理自己尚未完全理解的警报。警报升级率有助于评估L1分析师的经验和独立性，以及他们决定升级警报的频率。通常，警报升级率 的目标是低于50%，最好低于20%。

威胁检测率

假设在 2025 年发生的六起攻击中，您的安全运营中心 (SOC)团队检测并阻止了四起攻击，由于检测规则存在缺陷而漏检了第五起，而第六起则是因为一位一级分析师将其误判为误报。由此得出的指标为 TDR = 4 / 6 = 67%，这是一个非常糟糕的结果。威胁检测率应始终保持在 100%，因为每一次漏检都可能造成毁灭性后果，例如勒索软件感染和数据泄露。

---

请回答以下问题。
一个月零警报对你们的SOC团队来说是个好兆头吗？(Yea/Nay)

Nay

如果 50 个警报中只有 10 个看起来像是真正的威胁，那么误报率是多少？

80%

分诊指标

其次，请记住，警报本身并不能阻止安全漏洞的发生，因此及时接收警报、进行优先级排序并在攻击者达到目的之前做出响应至关重要。确保快速检测和修复威胁的要求通常会被纳入服务级别协议 ( SLA ) 中——这是一份由内部安全运营中心(SOC ) 团队与其公司管理层之间，或由托管安全运营中心 (MSSP) 提供商与其客户之间签署的文件。该协议通常要求快速检测威胁（以平均检测时间 ( MTTD )衡量）、一级分析师及时确认警报（以平均响应时间 ( MTTA ) 衡量），以及最终对威胁做出快速响应，例如隔离设备或保护被入侵的帐户（以平均修复时间 ( MTTR ) 衡量）。

参考表

请注意，不同的团队可能对安全运营中心 (SOC)指标有不同的定义或计算公式，具体取决于他们想要衡量的内容。对于此任务及后续任务，请参考上图和下表回答问题。

指标	通用服务级别协议	描述
SOC团队可用性	全天候 24/7	安全运营中心 (SOC)团队的工作安排通常为周一至周五 (8/5) 或 24/7 全天候模式
平均检测时间（MTTD）	5分钟	从攻击发生到安全运营中心 (SOC)工具检测到攻击的平均时间
平均确认时间（MTTA）	10分钟	L1分析师开始对新警报进行分类的平均时间
平均响应时间（MTTR）	60分钟	安全运营中心 (SOC)实际阻止安全漏洞扩散所需的平均时间

---

请回答以下问题。
假设安全运营中心 (SOC) 团队在周六收到一条紧急警报。
如果该团队实行 8/5 工作制，他们会在一周的哪一天确认收到警报？

# 周一
Monday

设想这样一种情况：一名员工被诱骗运行了数据窃取恶意软件。

1. 安全运营中心 (SOC) 团队在12分钟后收到“连接到 Redline Stealer C2 服务器”的警报。
2. 10分钟后，当班的一名一级分析师将警报状态更改为“处理中” 。
3. 6 分钟  后，警报升级到二级分析师，二级分析师花费35分钟清除恶意软件。
   请以逗号分隔的方式提供平均检测时间 (MTTD)、平均故障时间 (MTTA) 和平均修复时间 (MTTR) 作为答案（例如：10, 20, 30）。

MTTD = 12分钟 # 从发生到接到alert
MTTA = 10分钟 # L1开始处理->分析以及给出是否误报等等情况的时间，这里10分钟后L1是把告警状态改成了in progess 处理中，那就是escalate 升级告警到 L2 那里了
MTTR = 10 + 6 + 35 = 51分钟 # SOC团队(包括L1和L2)处理以及遏制的整个时间，L2是6分钟+35分钟，L1是10分钟

12
10
51  

改进指标

既然您已经了解了很多不同的指标，那么作为一名L1分析师，这些指标对您来说有何意义呢？首先，您应该明白，指标的建立是为了提高安全运营中心（SOC）的效率，从而大大降低攻击的成功率。其次，这些指标通常用于评估您的绩效，良好的指标表现有助于职业发展，并有机会晋升到更高级别的职位，例如L2分析师。那么，您该如何改进这些指标呢？

参考表

问题	建议
误报率 超过80%	您的团队收到的警报信息过多。请尝试： 1. 将系统更新等可信活动从EDR或SIEM检测规则中排除；2. 考虑使用SOAR或自定义脚本 自动处理最常见的警报。
平均检测时间 超过 30 分钟	您的团队检测到威胁时存在较长的延迟。请尝试： 1. 联系安全运营中心 (SOC)工程师，加快检测规则的运行速度或提高检测频率； 2. 检查安全信息和事件管理(SIEM)日志是否实时收集，是否存在 10 分钟的延迟。
平均确认时间 超过 30 分钟	一级分析师启动警报分流时存在较长的延迟。请尝试： 1. 确保分析师在新警报出现时能够实时收到通知； 2. 尽量将队列中的警报均匀分配给当班的分析师。
平均响应时间 超过 4 小时	安全运营中心 (SOC)团队无法及时阻止安全漏洞入侵。请尝试： 1. 作为一级安全团队 (L1)，尽一切可能迅速将威胁升级至二级安全团队 (L2)； 2. 确保您的团队已记录在不同攻击场景下的应对措施。

---

请回答以下问题。
安全运营中心（SOC）团队可接受的最高误报率是多少？

80%

所有安全运营中心（SOC）的角色是否应该协同合作，以持续提升各项指标？(Yea/Nay)

Yea

练习

虽然指标跟踪通常是安全运营中心(SOC)经理的职责，但始终需要技术人员提出改进建议或指出问题。作为SOC一级分析师，您最先注意到警报数量过多或误报率过高，因此请务必了解如何沟通问题以及如何解决。
在本实验中，请设想自己是一位安全运营中心(SOC)经理，收到与SOC团队相关的各种投诉。点击 “查看网站” 按钮打开附件网站，尝试通过正确分配改进任务，在三种场景下提升SOC指标。完成后，领取标记并回答任务问题！

---

请回答以下问题。

完成第一个场景后，你获得了什么标志？

THM{mttr:quick_start_but_slow_response}

---

完成第二个场景后，你获得了什么标志？

THM{mttd:time_between_attack_and_alert}

---

完成第三个场景后，你获得了什么旗帜？

THM{fpr:the_main_cause_of_l1_burnout}