skrypnikau/soc-ir-playbooks

GitHub: skrypnikau/soc-ir-playbooks

这是一个为SOC一线分析师提供的标准化事件响应操作手册集,帮助高效分类和处理常见安全警报。

Stars: 0 | Forks: 1

# SOC 事件响应操作手册 ![焦点](https://img.shields.io/badge/焦点-SOC%20Tier--1%20IR-red) ![MITRE](https://img.shields.io/badge/框架-MITRE%20ATT%26CK-orange) ![状态](https://img.shields.io/badge/状态-活跃-brightgreen) ![操作手册](https://img.shields.io/badge/操作手册-5-blue) 一系列 Tier-1 SOC 事件响应操作手册,涵盖了 SOC 分析师最常遇到的警报类型。每本操作手册都映射到 MITRE ATT&CK 技术,提供分步分类流程、遏制指导、升级标准以及文档模板。 这些操作手册是作为 SOC 分析师角色的自学内容开发的,旨在具有实用性和工具无关性——无论你是在 Sentinel、Splunk、QRadar 还是任何其他 SIEM 中工作,分类逻辑都适用。 ## 如何使用这些操作手册 1. **接收警报** 来自你的 SIEM 或工单系统。 2. **识别警报类型** — 将其与下面的一本操作手册匹配。 3. **按顺序执行分类步骤**。每个步骤都包含你试图回答的问题以及如何找到答案。 4. **如果事件被确认为恶意,则应用遏制步骤**。 5. **使用升级标准** 来决定是关闭、监控还是升级。 6. **使用每本操作手册末尾的模板** 记录你的发现。 ## 操作手册索引 | # | 操作手册 | MITRE 技术 | 严重程度 | |---|----------|-----------------|---------| | 01 | [钓鱼分类](playbooks/01-phishing-triage.md) | T1566.001, T1566.002, T1204 | 中–高 | | 02 | [暴力破解检测](playbooks/02-brute-force-detection.md) | T1110.001, T1110.003 | 中 | | 03 | [横向移动](playbooks/03-lateral-movement.md) | T1021.001, T1021.002, T1550.002 | 高 | | 04 | [恶意软件警报](playbooks/04-malware-alert.md) | T1059, T1055, T1547 | 高–严重 | | 05 | [数据外泄指标](playbooks/05-data-exfiltration-indicators.md) | T1048, T1041, T1567 | 高–严重 | ## MITRE ATT&CK 覆盖范围 完整的技术到操作手册映射表见 [`mitre-mapping.md`](mitre-mapping.md)。 **涵盖的战术:** - 初始访问 (TA0001) - 执行 (TA0002) - 持久化 (TA0003) - 横向移动 (TA0008) - 收集 (TA0009) - 数据外泄 (TA0010) - 命令与控制 (TA0011) ## 模板 | 模板 | 用途 | |----------|---------| | [`templates/incident-report-template.md`](templates/incident-report-template.md) | 分类后填写的结构化事件报告 | | [`templates/escalation-template.md`](templates/escalation-template.md) | 发送给 Tier-2 / 事件响应团队的预格式化升级消息 | ## 升级决策指南 ``` Alert received │ ▼ Is there evidence of successful compromise? YES ──► Is there evidence of data access/exfiltration or lateral movement? YES ──► CRITICAL — Escalate immediately + notify manager NO ──► HIGH — Contain, document, escalate to Tier-2 NO ──► Is the alert a true positive (attack attempted, failed)? YES ──► Document, apply watchlist/block, close or monitor NO ──► Investigate further — may be false positive or tuning needed ``` ## 作者 **Yauheni Skrypnikau** — 网络安全分析师 * **LinkedIn:** [linkedin.com/in/skrypnikau](https://www.linkedin.com/in/skrypnikau) * **GitHub:** [github.com/skrypnikau](https://github.com/skrypnikau)
标签:Cloudflare, DAST, MITRE ATT&CK, PoC, SOC分析师培训, 分诊, 升级标准, 威胁情报, 安全事件, 安全运营中心, 实战操作, 工具无关, 常见威胁, 开发者工具, 恶意软件分析, 手册, 技术映射, 搜索语句(dork), 文档模板, 暴力破解, 横向移动, 编程规范, 网络安全, 网络映射, 警报处理, 防御加固, 防御策略, 隐私保护