ahnpj/incident-response-and-investigations
GitHub: ahnpj/incident-response-and-investigations
基于真实 SOC 工作流构建的安全事件响应与调查案例库,提供覆盖多攻击面的端到端调查文档与 MITRE ATT&CK 映射。
Stars: 1 | Forks: 0
## 事件响应与调查
本仓库包含基于真实 SOC 和蓝队工作流程构建的**实战安全调查**。每个案例都模拟了如何使用多种遥测数据来源,对可疑活动或警报进行分类、验证、范围界定和解决。
调查根据主要的攻击面和调查重点(例如身份、端点、入侵和 Web 应用程序)被组织到相应的类别文件夹中。每个调查都是完全独立的,代表一个从头到尾完整记录的事件场景。
这些案例强调基于证据的分析、跨日志关联、攻击者行为映射(MITRE ATT&CK),以及对调查推理和结果的清晰记录。
### 从这里开始:如何浏览本仓库
调查按主要攻击面进行分组,并被组织到完全独立的调查文件夹中。每个文件夹都记录了一个完整的事件场景,涵盖从初始信号到验证、范围界定、分析、响应考量和防御要点。
如果您是第一次访问本仓库,请从**[类别文件夹和当前调查](#category-folders-and-current-investigations)**开始,以快速了解整个作品集中展示的事件类型。
▶️ 调查文档结构
大多数调查文件夹包含以下支持文件:
| 文件 / 文件夹 | 用途 |
|------------|--------|
| `investigation-walkthrough.md` | 分析师逐步的操作工作流和验证过程 |
| `case-report.md` | 正式的事件叙述和发现 |
| `incident-summary.md` | 事件的高管级别概述 |
| `detection-artifact-report.md` | 技术证据和检测结果的详细分解 |
| `detection-and-hardening-recommendations.md` | 基于调查发现的防御改进建议 |
| `incident-response-report.md` | 操作响应和补救指南 |
| `mitre-attack-mapping.md` | 将观察到的行为映射到 MITRE ATT&CK |
| `images/` 或 `screenshots/` | 基于视觉和日志的验证制品 |
文档是有意分开的,这样分析师工作流、事件重建、证据验证、响应指南和防御建议就可以被独立查看,同时仍然与同一个调查叙述保持关联。
### 本仓库的组织方式
本仓库被组织成**类别文件夹**,这是您在浏览仓库时在顶部看到的顶级文件夹。
每个类别代表一个主要的安全领域和主要的攻击面,用于对相关调查进行分组。调查被放入这些类别之一,是基于**攻击从哪里开始以及事件主要如何被调查**,而不是基于案例中碰巧出现了哪些工具或日志。
每个调查在其自己的文件夹内都是完全独立的,并且包含了从头到尾理解该单个事件所需的所有文档、证据和分析。
▶️ 类别文件夹
| 类别文件夹 | 调查重点 | 您会在里面找到什么 |
|---------------|----------------------|----------------------------|
| **身份和电子邮件入侵** | 以身份平台或消息传递系统为主要攻击面的攻击。 | 涉及凭证滥用、邮箱操纵、账户接管、商业电子邮件入侵 (BEC) 以及身份验证工作流滥用的调查。证据可能包括身份日志、邮箱审计数据和消息制品。 |
| **端点入侵与持久化** | 基于主机的攻击,其中端点遥测和系统制品是检测和验证的核心。 | 涉及恶意软件执行、未经授权的进程、持久化机制(注册表、计划任务、服务)、账户创建以及滥用内置系统实用程序的调查。证据通常包括 Windows 事件日志、Sysmon 和文件系统制品。 |
| **入侵与横向移动** | 跨系统和网络路径演进的多阶段入侵。 | 使用防火墙日志、身份验证遥测、端点制品和网络指标,重建攻击者从初始访问到凭证滥用、权限提升和横向移动的轨迹的调查。 |
| **Web 应用程序入侵** | 以 Web 应用程序或 CMS 平台作为初始访问向量的攻击。 | 涉及身份验证滥用、漏洞扫描、文件上传利用、Web Shell 和网页篡改的调查。证据包括 HTTP 流量、IDS 警报、防火墙日志和主机遥测。 |
### 调查结构与文档
调查使用两级层次结构进行组织:
| 级别 | 用途 |
|---|---|
| **类别文件夹** | 根据主要攻击面和调查重点对相关事件类型进行分组 |
| **调查文件夹** | 每个独立的事件场景都位于某个类别内的一个独立文件夹中 |
每个调查文件夹都是完全独立的,代表**一个完整的案例**。
▶️ 这些调查的设计方式
**重要提示:** 调查是按**主要攻击面和调查重点**分组的,而不是严格按所涉及的工具或日志分组的。
在真实的 SOC 工作中,事件通常跨越多个遥测源(例如:同一个案例中包含 Web 日志、防火墙遥测、身份事件和端点制品)。为了反映这一现实,每个调查都是根据**事件发生或主要调查的安全控制领域**进行分类,而不是分析期间触及的每个系统。
这种结构反映了安全团队在实际操作中对事件进行分类和分配调查责任的方式。
本仓库是**调查优先**的,而不是程序优先的。
您将找到:
- 案例式的调查报告
- 分析师逐步的切入点(Pivot)和验证工作流
- 时间线、屏幕截图和提取的制品
- 与发现直接相关的检测和加固观察
- MITRE ATT&CK 映射
每次调查不仅记录了发生了什么,还记录了结论是如何得出的、为什么执行特定的切入点操作,以及是什么证据支持了每一个决定。
诸如分类指南、响应清单和标准操作程序等操作文档被有意维护在一个单独的仓库中,以便本仓库能够专注于真实的调查工作,而不是通用的剧本。
▶️ 每个调查文件夹中的标准文件
虽然并非每个案例都需要所有文件,但调查通常包含以下支持文档:
| 文件 / 文件夹 | 用途 | 内容和重点 |
|------------|--------|--------------------|
| **调查指南** (`investigation-walkthrough.md`) | 分析师逐步的操作工作流和验证过程。 | 记录案例期间执行的分析师操作和切入点,展示如何跨多个数据源识别、验证和关联证据。 |
| **案例报告** (`case-report.md`) | 正式的事件叙述和发现。 | 提供结构化的事件文档,包括范围、方法论、确认的发现和响应考量。 |
| **事件摘要** (`incident-summary.md`) | 事件的高管级别概述。 | 为非技术干系人总结发生了什么、是如何被检测到的以及调查的最终结果。 |
| **检测和制品分析** (`detection-artifact-report.md`) | 技术证据和检测结果的详细分解。 | 记录日志、警报和取证制品,包括在调查期间在哪里识别出它们,以及从每个制品中得出了什么结论。 |
| **检测和加固建议** (`detection-and-hardening-recommendations.md`) | 基于调查发现的防御改进。 | 根据调查期间观察到的差距(包括日志记录差距、检测机会和控制改进)提供可操作的建议。 |
| **事件响应报告** (`incident-response-report.md`) | 操作响应和补救指南。 | 涵盖在确认恶意活动后的遏制、根除、恢复和事件后考量。 |
| **MITRE ATT&CK 映射** (`mitre-attack-mapping.md`) | 将观察到的行为映射到 ATT&CK 框架。 | 提供基于证据的映射,将观察到的行为映射到与特定调查步骤相关联的 MITRE ATT&CK 战术和技术。 |
| **屏幕截图和支持证据** (`images/` 或 `screenshots/`) | 基于视觉和日志的验证制品。 | 包含文档中引用的日志摘录、视觉制品和验证证据,以支持分析结论。 |
这些文件共同将**分析师工作流**、**事件重建**和**证据验证**分离为清晰、可审查的组件,同时仍与相同的调查叙述保持关联。
### 类别文件夹和当前调查
每个类别文件夹可能包含**多个调查文件夹**,每个调查代表一个独立的事件场景。
▶️ 身份和电子邮件入侵调查
`identity-and-email-compromise-investigations/`
以身份平台或消息传递服务为主要攻击面的事件,包括凭证滥用、邮箱操纵和商业电子邮件入侵 (BEC)。当**核心安全故障是对账户或消息传递工作流的未经授权访问**时,相关调查将被归入此处。
- **商业电子邮件入侵 (BEC) — 邮箱规则滥用和账户接管**
- **摘要:** 调查攻击者如何在入侵高管凭证后滥用 Exchange 收件箱规则来压制财务通信,包括对未经授权的规则创建和相关身份活动的验证。
▶️ 端点入侵与持久化调查
`endpoint-compromise-and-persistence-investigations/`
涉及恶意软件执行、持久化机制以及滥用内置系统实用程序的基于主机的入侵场景。当**端点遥测和主机制品是检测和验证的核心**时,案例将被归入此类。
- **端点挖矿木马感染 — 可疑进程执行**
- **摘要:** 使用 Windows 进程创建遥测和执行上下文,检测与加密货币挖矿恶意软件一致的异常进程行为。
- **Windows 主机入侵 — 后门账户和基于注册表的持久化**
- **摘要:** 分析未经授权的账户创建和注册表自启动机制,这些机制用于维持对受入侵工作站的长期访问。
- **Windows 恶意软件分类 — Living-off-the-Land 二进制文件 利用和载荷验证**
- **摘要:** 使用文件信誉、数字签名、计划任务和注册表制品验证可疑的二进制文件和持久化技术。
▶️ 入侵与横向移动调查
`intrusion-and-lateral-movement-investigations/`
涉及权限提升、远程服务利用和系统间移动的多阶段入侵场景。当目标是**重建攻击者跨主机和网络路径的推进过程**时,相关调查将被放置在此处。
- **Windows 服务利用 — Print Spooler 远程代码执行 (RCE)**
- **摘要:** 检查导致 Windows 服务器上代码执行和提升权限的 Print Spooler 服务利用。
- **入侵生命周期调查 — 跨 Windows 主机的横向移动**
- **摘要:** 使用防火墙、身份验证和主机遥测,追踪攻击者从初始访问到基于凭证的横向移动的行为。
▶️ Web 应用程序入侵调查
`web-application-compromise-investigations/`
以 Web 应用程序或 CMS 平台作为初始访问向量的攻击,包括身份验证滥用和文件上传利用。当**应用层行为和 HTTP 活动是主要调查面**时,案例将被归入此类。
- **Web 应用程序账户入侵 — 暴力破解身份验证滥用**
- **摘要:** 分析针对 Web 应用程序的重复身份验证尝试,最终导致成功的账户接管。
- **Web 服务器网页篡改 — 恶意文件上传利用**
- **摘要:** 调查导致未经授权的脚本部署和网站被篡改(Defacement)的文件上传功能利用。