Muts256/Incident-Response
GitHub: Muts256/Incident-Response
这是一个基于NIST生命周期的事件响应调查仓库,提供常见安全威胁的检测和响应实践指南。
Stars: 0 | Forks: 0
## 简介
本仓库记录**实用的事件响应调查**,专注于检测、分析和应对企业及安全运营中心环境中常见的真实世界安全威胁。
仓库中的调查遵循**NIST事件响应生命周期**,确保以结构化和可重复的方式处理安全事件:
- **准备:** 建立可见性、日志记录和检测恶意活动的就绪状态
- **检测与分析:** 识别可疑行为、验证警报,并确定事件范围和影响
- **遏制、消除与恢复:** 考虑采取行动以限制影响、移除威胁并安全地恢复受影响系统
- **事后活动:** 记录调查结果、总结经验教训和改进机会
每项调查都展示了如何在实践中应用这些阶段,从最初的警报分类到分析和响应决策制定。
包含的场景反映了**逼真的攻击技术和可疑活动模式**,例如:
| 调查项目 | 描述 |
|---------------|-------------|
| [暴力破解尝试检测](https://github.com/Muts256/Incident-Response/blob/main/Brute-Force-Attempt-Detection.md) | 检测并响应表明暴力破解攻击的重复身份验证失败。 |
| [可疑的 PowerShell Web 请求](https://github.com/Muts256/Incident-Response/blob/main/Suspicious-PowerShell-web-requests.md) | 调查发出可疑出站 Web 请求的 PowerShell 活动。 |
| [潜在的不可能旅行](https://github.com/Muts256/Incident-Response/blob/main/Potential-Impossible-Travel.md) | 分析在不可行的时间范围内从地理上相距遥远的位置进行的登录。 |
| [过多的资源创建/删除](https://github.com/Muts256/Incident-Response/blob/main/Excessive-Resource-Creation-And-Or-Deletion.md) | 检测可能表明已遭入侵的异常云资源创建或删除活动。 |
| [Linux 权限提升和数据渗漏](https://github.com/Muts256/Incident-Response/tree/main/Linux-Privilege-Escalation-and-Data-Exfiltration) | 对疑似内部威胁的事件响应。 |
| [脚本执行攻击](https://github.com/Muts256/Incident-Response/blob/main/Script-Execution-Attack.md) | 一种在目标机器内自动静默启动恶意程序的脚本解释器。 |
在适用的情况下,调查会映射到 **MITRE ATT&CK** 技术,以提供有关对手行为的额外背景信息,并支持威胁知情的防御。
### 工具与技术
- **Microsoft Sentinel (SIEM)**
- **Microsoft Defender for Endpoint (MDE)**
- **虚拟机 (VM)**
- **Kusto 查询语言 (KQL)**
### 拓扑结构
### 检测覆盖范围(对齐 MITRE ATT&CK)
作为 **NIST SP 800-61 事件响应生命周期**中 **检测与分析**阶段的一部分,以下是如何将检测和调查映射到 **MITRE ATT&CK 框架**的示例。
MITRE ATT&CK 有助于:
- 理解对手行为
- 验证检测覆盖范围
- 支持警报分类和调查
- 识别检测差距以进行持续改进
| 战术 | 技术 ID | 技术名称 | 检测 / 调查 |
|------|-------------|---------------|---------------------------|
| 凭证访问 | T1110 | 暴力破解 | 暴力破解登录检测(Sentinel 计划规则) |
| 执行 | T1059.001 | PowerShell | 可疑的 PowerShell Web 请求 |
| 凭证访问 | T1003 | 操作系统凭证转储 | Mimikatz 执行调查 |
| 命令与控制 | T1071.001 | Web 协议 | 可疑的出站 HTTP 流量 |
标签:AMSI绕过, meg, NIST框架, OpenCanary, PowerShell脚本, 企业安全, 信息安全, 多引擎聚合, 威胁情报, 威胁检测, 安全日志, 安全调查, 安全运营中心, 安全防护, 库, 应急响应, 开发者工具, 异常检测, 恢复策略, 攻击技术, 暴力破解攻击, 监控系统, 红队行动, 网络映射, 网络资产管理