farhan-shafee/incident-response-playbooks

# 事件响应 Playbook 作品集 Lab 本仓库是一个**作品集 Lab**，展示了我如何为 SOC Analyst / Security Analyst / Junior IR 相关职位组织和记录事件响应 (IR) 工作。 ## 目的 - 展示针对常见事件类别的实用 IR 思维。 - 展示可复用的 playbook 和文档模式。 - 提供真实的、经过脱敏处理的演练内容，用于面试讨论。 ## 仓库结构 - `playbooks/` — 针对常见事件类型的响应 Playbook。 - `templates/` — Intake、证据、时间线、利益相关者更新和 PIR 模板。 - `docs/` — 方法和操作假设。 - `scenarios/` — 用于练习分诊和升级的实验场景。 - `reports/` — 已完成的示例实验报告。 - `scripts/` — 本地验证检查。 - `.github/workflows/` — 本地验证的 CI 执行。 ## 包含的 Playbook - Phishing - Malware - Ransomware - Account Compromise - Cloud Incident - Data Exposure 每个 Playbook 包含： - 目标 - 严重性标准 - 初始分诊步骤 - 待收集证据 - 遏制步骤 - 清除步骤 - 恢复步骤 - 沟通/升级指导 - 事后审查步骤 - MITRE ATT&CK 映射（在有用的地方） ## 建议的工作流程 1. 在 `scenarios/` 中选择一个场景。 2. 执行 `playbooks/` 中相应的 Playbook。 3. 填写 `templates/incident_intake_form.md` 和 `templates/timeline_template.md`。 4. 使用 `templates/evidence_collection_checklist.md` 跟踪工件。 5. 通过 `templates/stakeholder_update_template.md` 发布定期更新。 6. 在 `templates/post_incident_review_template.md` 中完成收尾和改进。 7. 在 `reports/` 中撰写最终报告。 ## 展示的技能 - 事件分类和严重性评估。 - 结构化的分诊与升级。 - 面向证据的调查记录。 - 利益相关者沟通规范。 - 事后纠正行动计划。 ## 限制 - 不包含真实的公司数据、事件或敏感工件。 - 不包含生产环境声明、响应指标或违规责任主张。 - 平台/工具引用有意保持通用。 ## 验证 ``` make validate ```

标签：Cloudflare, ESC漏洞, GitHub Actions, Go语言工具, IR Playbook, MITRE ATT&CK, PDF链接提取, SOC分析师, 严重性判定, 事后审查, 云安全事件, 初级安全分析师, 勒索软件, 响应模板, 安全分析师, 安全分类, 安全分诊, 安全升级, 安全场景, 安全实践, 安全实验室, 安全报告, 安全文档, 安全运营中心, 安全面试, 实战演练, 工作流, 库, 应急响应, 应急响应手册, 恶意软件, 搜索语句（dork）, 模板库, 网络安全, 网络安全求职, 网络映射, 自动笔记, 证据收集, 账号失陷, 防御加固, 隐私保护, 项目组合