theylovejay409/security-playbooks
GitHub: theylovejay409/security-playbooks
面向蓝队和SOC分析师的开源安全实验室集合,提供ATT&CK场景、检测规则和实践练习,帮助安全人员掌握威胁检测与响应技能。
Stars: 0 | Forks: 0
# 🛡️ security-playbooks - SOC 工作网络安全实验室
[](https://github.com/theylovejay409/security-playbooks)
## 🧭 项目简介
Security Playbooks 是一个开源的网络安全攻击场景、检测规则、概念验证脚本和实验室指南集合。它可以帮助你了解攻击的运作原理,以及如何在日志和告警中发现它们。
你可以用它来:
- 学习 MITRE ATT&CK 技术
- 查看 Sigma、YARA 和 Suricata 规则
- 跟随动手实践的实验步骤
- 练习威胁狩猎
- 了解 SOC 团队是如何发现和验证威胁的
## 💻 环境要求
本项目专为希望阅读 playbook 并运行仓库中实验室文件的 Windows 用户设计。
你将需要:
- Windows 10 或 Windows 11
- 网络浏览器
- 7-Zip 或 WinRAR(用于解压 ZIP 文件)
- PowerShell
- Git(如果你想克隆仓库)
- Python 3(如果你想运行 PoC 脚本)
- 足够的磁盘空间(用于存放实验文件和样本)
如果你打算测试检测规则,建议使用实验室虚拟机。请在测试系统中进行,不要在你的主要个人电脑上操作。
## 📥 下载并打开项目
访问此页面以下载或克隆项目:
[https://github.com/theylovejay409/security-playbooks](https://github.com/theylovejay409/security-playbooks)
在 GitHub 页面上:
1. 点击 **Code**
2. 点击 **Download ZIP**
3. 将文件保存到你的电脑
4. 右键点击该 ZIP 文件
5. 选择 **Extract All**(全部解压)
6. 打开解压后的文件夹
如果你倾向于使用 Git:
1. 安装 Git for Windows
2. 打开 PowerShell
3. 运行:
```
git clone https://github.com/theylovejay409/security-playbooks
```
4. 克隆完成后打开新文件夹
## 🗂️ 你会发现什么
该仓库被设置为一个学习和参考资料包。你可以预期看到以下文件夹和文件:
- 基于 MITRE ATT&CK 的攻击场景
- Sigma 格式的检测规则
- 用于文件检查的 YARA 规则
- 用于网络检查的 Suricata 规则
- 包含分步任务的实验室演练
- 用于安全本地测试的示例脚本
- 用于日志审查和威胁狩猎的笔记
常见用例:
- 使用 YARA 检查可疑文件
- 使用 Suricata 规则测试网络告警
- 将活动映射到 ATT&CK 技术
- 检查日志以寻找攻击迹象
- 练习应急响应步骤
## 🚀 如何在 Windows 上使用
打开文件夹后,查找具有以下扩展名的文件:
- `README.md`
- `.yml`
- `.yaml`
- `.yara`
- `.yar`
- `.rules`
- `.sigma`
- `.py`
像这样使用它们:
- 在记事本或浏览器中打开 `README.md` 文件
- 按顺序阅读实验步骤
- 将 Sigma 或 YARA 规则复制到你的测试工具中
- 从 PowerShell 运行 Python 脚本
- 将样本和日志保留在测试文件夹中
如果某个实验用到了命令,请逐条运行它们,并遵循指南中的顺序。
## 🧪 运行 PoC 脚本
某些文件夹可能包含用于本地测试的 Python 脚本。要运行它们:
1. 从 python.org 安装 Python 3
2. 打开 PowerShell
3. 导航到包含脚本的文件夹
4. 运行:
```
python scriptname.py
```
如果脚本需要额外的 Python 包,该文件夹中的 README 应该会列出它们。使用以下命令进行安装:
```
pip install package-name
```
请确保在安全的实验室环境中进行测试。
## 🔍 使用检测规则
### Sigma 规则
Sigma 规则可帮助你搜索日志中的攻击迹象。你可以将它们与支持 Sigma 的 SIEM 工具或日志平台结合使用。
### YARA 规则
YARA 规则可帮助你查找匹配特定模式的文件。请将它们用于恶意软件分析工具或本地文件扫描。
### Suricata 规则
Suricata 规则可帮助你查找与攻击相关的网络流量。请在实验室网络或测试传感器上使用它们。
首先阅读规则文件及其附近的说明。许多规则都包含简短的用例或用于测试的示例事件。
## 🧰 推荐的 Windows 设置
为了使设置更顺畅,请使用以下简单的目录布局:
- 一个用于存放仓库的文件夹
- 一个用于存放实验室文件的文件夹
- 一个用于存放测试日志的文件夹
- 一台用于处理风险样本的 Windows 虚拟机
- 一个用于阅读指南的文本编辑器
实用工具:
- Notepad++
- PowerShell
- Python
- Git for Windows
- 7-Zip
- 虚拟机软件,例如 VirtualBox 或 VMware Workstation Player
## 🧭 如何使用 Playbook
Playbook 通常会为你提供一条需要遵循的路径:
1. 阅读目标
2. 查看场景
3. 运行或检查样本
4. 观察日志或告警输出
5. 将活动映射到 ATT&CK
6. 记录你的发现
如果你是 SOC 工作的新手,请一次只学习一个 playbook。这样可以更容易地遵循步骤并保持笔记清晰。
## 📌 实用提示
- 将仓库保存在路径较短的文件夹中,例如 `C:\Labs\security-playbooks`
- 使用测试虚拟机处理恶意软件样本
- 随时保存笔记
- 仅在指南要求时才重命名文件
- 在运行任何脚本之前,请先阅读文件夹中的 README
- 使用编辑器中的搜索功能来查找规则名称或 ATT&CK ID
## 🧩 常见文件类型
你可能会看到以下文件类型:
- `.md` 用于 readme 文件
- `.py` 用于 Python 脚本
- `.txt` 用于笔记
- `.yara` 或 `.yar` 用于文件规则
- `.yml` 或 `.yaml` 用于 Sigma 规则
- `.rules` 用于 Suricata 规则
- `.json`、`.log` 或 `.txt` 格式的样本日志
## 🛠️ 基本故障排除
如果文件无法打开:
- 确保你已解压了该 ZIP 文件
- 检查该文件是否被 Windows 拦截
- 尝试在记事本中打开它
- 确认你为该文件类型使用了正确的应用程序
如果 Python 脚本运行失败:
- 检查是否已安装 Python
- 运行 `python --version`
- 确认脚本路径正确
- 阅读文件夹中的 README 以了解额外的步骤
如果规则不匹配:
- 验证日志或样本是否符合该场景
- 检查规则版本
- 将测试数据与 playbook 笔记进行比较
## 📚 适用人群
本仓库适合:
- SOC 分析师
- 蓝队成员
- 威胁猎人
- 应急响应团队
- 恶意软件分析师
- 网络实验室学生
- 希望学习攻击路径和检测技术的家庭实验室用户
## 🔗 再次下载
访问此页面以下载或克隆项目:
[https://github.com/theylovejay409/security-playbooks](https://github.com/theylovejay409/security-playbooks)
打开页面,下载 ZIP 文件,解压后,按照文件夹内的 README 文件进行操作
标签:AI合规, BurpSuite集成, DNS信息、DNS暴力破解, Metaprompt, PoC脚本, Sigma规则, Suricata规则, YARA规则, 安全剧本, 安全实验室, 安全测试, 安全运营, 扫描框架, 攻击性安全, 检测规则, 漏洞分析, 目标导入, 网络安全, 网络攻防, 网络资产发现, 蓝队演练, 路径探测, 逆向工具, 隐私保护