BrunelcareGit/Playbooks

# 目录 [[_TOC_]] # IR 应急响应剧本 本仓库包含 Brunelcare 基础设施与安全团队的所有应急响应剧本和工作流。 每个文件夹包含一个剧本，根据 [NIST - 800.61 r2](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) 分为 6 个部分 ## 1- 准备阶段 本部分应包含以下信息 - _所有_ 资产列表 - 服务器 - 终端（+关键终端） - 网络 - 应用程序 - 员工 - 安全产品 - 基线 - 沟通计划 - 安全事件分类 - 阈值 - 如何访问安全工具 - 如何开通访问权限 - 创建剧本 - 计划演练 - 桌面推演 - 实战演练 ## 2- 检测与分析 本部分应包含以下信息 - 收集信息 - 分析数据 - 构建检测规则 - 根本原因分析 - 攻击的深度和广度 - 管理员权限 - 受影响的系统 - 使用的技术 - 失陷指标 / 攻击指标 - 战术、技术和程序 (TTP) - IP 地址 - 电子邮件地址 - 文件哈希 - 命令行 - 等等。 ## 3- 遏制、根除与恢复 本部分应包含以下信息 - 隔离受影响的系统 - 修补威胁入口点 - 预设阈值 - 针对客户 - 针对内部系统 - 针对升级情况 - 预授权操作 - 针对特定客户 - 针对特定环境 - 生产环境 (Prod) - 测试环境 (QA) - 面向互联网的系统 - 如何在所有受影响的系统上清除威胁 - 使系统恢复正常运行 - 重建并恢复服务 ## 4- 事件后活动 - 经验教训 - 新的检测规则 - 新的加固措施 - 新的补丁管理 - 等等。 # 目录结构 ## 客户 此文件夹包含与客户相关的所有信息，例如 - 联系人 - 姓名 - 电话号码 - 电子邮件 - 升级联系人 - 工作时间 - 非工作时间 - 客户经理 - 预批准的操作和阈值 - 停机 / 降级计划 ## 产品 此文件夹包含有关我们在事件期间使用的各种“商业”产品的信息。 例如： - JIRA - Remedy - Service-Now - ArcSight - Elastic Stack - RSA NetWitness - Splunk - AMP - CrowdStrike - McAfee - Microsoft ATP - Symantec - Firepower - Fortigate - 等等。 ## IRP-* 这些是包含剧本本身的独立文件夹 在每个目录中，应该有一个 PDF 文件夹，其中提供（并自动生成的）PDF 版本，供审计人员和需要查看它们的客户使用 # 创建新剧本 ## 文件夹与文件 要创建新剧本： - 创建一个新文件夹，例如：`IRP-DDoS` - 在新文件夹中创建一个名为 `README.md` 的文件 - 粘贴 `IRP-TEMPLATE.md` 的内容 - 将整个文档中的字符串 `-NAME-` 替换为你的剧本名称，例如：`DDoS` - 编辑各个部分。 ## 工作流 要创建工作流 - 在新文件夹中创建一个名为 `Workflows` 的文件夹 - 在 [Draw.io](https://app.diagrams.net) 中打开 `WORKFLOW-TEMPLATE.drawio` 文件 - 在本地保存，直到你完成所有选项卡 - 一旦所有选项卡/阶段都完成，将副本上传到你的新 `Workflows` 文件夹中 - 使用 Draw.io 的 `File -> Export as -> PNG` 功能分别保存每个图表阶段 - 确保取消选中 `Include a copy of the diagram` - 点击 `Export` - 在本地保存 - 将每个 .PNG 文件上传到你的新 `Workflows` 文件夹中

标签：IR, NIST, PB级数据处理, playbook, SOP, 企业安全, 分析, 响应流程, 安全事件, 安全策略, 安全管理, 安全运维, 安全运营, 密码管理, 库, 应急响应, 恢复, 扫描框架, 提示词设计, 网络安全, 网络安全研究, 网络资产管理, 防御加固, 隐私保护