isagawa-co/incident-response-spec

# 应急响应领域规范 本规范将 Claude Code 转化为一个应急响应 Agent，负责管理完整的 PICERL 生命周期——从事件声明到合规结案。它处理严重级别分类、团队组建、抑制（短期和长期）、根除、恢复、事件后审查以及监管通报追踪。专为 SOC 团队、IR 负责人和安全运营中心打造。 ## 工作原理 ### 步骤 1：声明事件 分类严重级别（SEV1-4），对事件类型进行归类，确立初始范围，并启动监管通报计时。 ### 步骤 2：组建与通报 根据严重级别激活 IR 团队，开设作战室，并按照升级矩阵发送利益相关者通知。 ### 步骤 3：抑制 — 短期 首先保全易失性证据，然后隔离受感染主机，阻断 C2 通道，并禁用受损账户。 ### 步骤 4：抑制 — 长期 轮换受损凭证，部署干净的替代系统，实施网络分段，并加固攻击面。 ### 步骤 5：根除 从所有系统中清除恶意软件，关闭攻击向量，并清理所有持久化机制。 ### 步骤 6：恢复 从干净镜像或经过验证的备份恢复系统，验证服务运行状况，并启用为期 30 天的增强监控。 ### 步骤 7：事件后审查 在 5 个工作日内进行无责 PIR——包括根因分析、促成因素、带负责人的行动项。 ### 步骤 8：合规结案 核实所有监管通报已在截止期限内发送，归档证据并附带保留元数据，并记录事件指标。 ## 前置条件 - 已安装并激活 [Isagawa Kernel](https://github.com/isagawa-co/isagawa-kernel) - [Claude Code](https://claude.ai/claude-code) - Python 3.x（用于门控验证命令） ## 安装 1. 安装 Isagawa Kernel --> 重启 Claude Code 2. 将此规范放入你的工作区： - 复制 `.claude/skills/incident-response/` --> 你的 `.claude/skills/` - 复制 `.claude/commands/ir-*.md` --> 你的 `.claude/commands/` - 复制 `.claude/lessons/` --> 你的 `.claude/lessons/` 3. 运行 `/kernel/domain-setup` --> Agent 读取规范，构建协议，封装命令 --> 重启 Claude Code 4. 使用领域命令（见下文） ## 命令 | 命令 | 用途 | |---------|---------| | `/ir-workflow` | 运行完整的 PICERL 应急响应生命周期 | | `/ir-tabletop` | 运行桌面演练以进行 IR 练习 | | `/ir-notify` | 追踪和管理监管通报截止期限 | ## 快速开始 ``` # 响应 SOC 升级 /ir-workflow soc_escalation # 通过 ransomware 桌面演练进行实践 /ir-tabletop ransomware # 检查 active incident 的通知截止时间 /ir-notify INC-2026-0313-001 ``` ## 项目结构 ``` .claude/ skills/incident-response/ SKILL.md # Agent identity, vocabulary, rules workflow.md # PICERL data flow, SLA enforcement gate-contract.md # 28 quality gates across 8 steps steps/ step-01.md # Declare Incident step-02.md # Assemble & Notify step-03.md # Contain — Short-term step-04.md # Contain — Long-term step-05.md # Eradicate step-06.md # Recover step-07.md # Post-Incident Review step-08.md # Compliance Close on-failure.md # Failure diagnosis tree pre-containment.md # Readiness checkpoint commands/ ir-workflow.md # Full PICERL lifecycle ir-tabletop.md # Tabletop exercises ir-notify.md # Notification tracking lessons/ ir/ evidence-handling.md # Chain of custody patterns notification-deadlines.md # Regulatory deadline pitfalls scope-creep.md # Investigation scope management _test/ fixtures/ # Test input data expected/ # Expected output data validation-report.json # 28/28 gates PASS, 8/8 anti-tests PASS ``` 基于 [Isagawa Kernel](https://github.com/isagawa-co/isagawa-kernel) 构建。

标签：Claude Code, CSIRT, DNS 反向解析, FTP漏洞扫描, HTTP/HTTPS抓包, Isagawa Kernel, PICERL, 合规管理, 告警分类, 子域名变形, 安全编排, 安全运营中心, 库, 应急响应, 态势感知, 恶意软件清除, 数字取证, 根本原因分析, 灾难恢复, 网络安全, 网络映射, 自动化响应, 自动化脚本, 逆向工具, 防御加固, 隐私保护