cmunuve/incident-response-case-study

# 事件响应调查 该项目模拟了一次小规模的安全事件，并从 SOC（安全运营中心）的视角记录了调查、分析和响应过程。 ## 场景概述 一名用户报告称其系统变得异常缓慢且无响应。怀疑存在可疑活动，因此启动调查以确定原因。 本案例研究记录了调查过程、审查的证据以及响应决策。 ## 调查工作流 调查遵循结构化的事件响应流程： 1. **调查计划** – 确定范围和证据来源。 2. **时间线重建** – 根据可用日志组织事件。 3. **失陷指标** – 识别暗示潜在恶意活动的痕迹。 4. **分析与验证** – 评估观察到的事件的替代解释。 5. **遏制与响应** – 建议采取行动以降低潜在风险。 6. **事件总结** – 记录调查结果和当前评估。 ## 关键启示 本案例研究强调了在得出发生恶意活动的结论之前，关联多个痕迹的重要性。 诸如登录失败或新进程等单个事件可能具有良性解释，但在时间线内分析它们有助于识别可能需要深入调查的模式。

标签：AMSI绕过, IOC, 事件复盘, 入侵分析, 妥协指标, 威胁情报, 威胁检测, 安全教育, 安全调查, 安全运营中心, 实验环境, 库, 应急响应, 开发者工具, 攻击时间线, 数字取证, 案例分析, 渗透测试后期, 网络安全, 网络安全审计, 网络映射, 自动化脚本, 防御加固, 防御研判, 隐私保护