nr313/IR-Playbook-Generator

# IR Playbook 生成器 — AI 驱动的事件响应 一款基于浏览器的事件响应 Playbook 生成器，利用 Claude AI 生成完整的、符合 NIST SP 800-61 标准的响应 Playbook，涵盖六种主要事件类型 — 并根据您组织的具体情境进行定制。 ## 功能特性 - **6 种事件类型** — Ransomware、Phishing/BEC、Data Breach、DDoS、Insider Threat、APT/Nation-State - **NIST IR 框架** — 包含全部 6 个阶段：准备、检测与分析、遏制、根除、恢复、经验总结 - **情境感知** — 根据组织类型、环境规模、检测来源和受影响系统定制 Playbook - **可执行步骤** — 每个步骤均包含工具、负责角色和时间估算 - **升级联系人** — 预置的利益相关者通知列表 - **交互式清单** — 可点击的决策者决策清单 - **可展开阶段** — 点击任意阶段查看详细步骤 - **零依赖** — 单个 HTML 文件，可在任何浏览器中运行 ## 涵盖的事件类型 | 事件 | 描述 | |----------|-------------| | Ransomware | 加密、勒索要求、业务中断 | | Phishing / BEC | 凭据窃取、电子邮件入侵、电汇欺诈 | | Data Breach | 未授权访问、数据窃取、数据渗出 | | DDoS Attack | 服务中断、流量洪水攻击、可用性 | | Insider Threat | 恶意员工、权限滥用、蓄意破坏 | | APT / Nation-State | 长期入侵、间谍活动、持久化 | ## 快速开始 ### 1. 克隆仓库 ``` git clone https://github.com/YOUR_USERNAME/ir-playbook-generator.git cd ir-playbook-generator ``` ### 2. 获取 Anthropic API 密钥 在 [console.anthropic.com](https://console.anthropic.com) 注册并创建一个免费 API 密钥。 ### 3. 在浏览器中打开 ``` open ir-playbook.html ``` 或者直接双击文件 — 无需服务器。 ### 4. 生成 Playbook 1. 输入您的 API 密钥 2. 选择事件类型 3. 填写背景信息（组织类型、环境规模、受影响系统） 4. 点击 **生成 Playbook** ## 示例输出 — Ransomware Playbook ``` Incident Type: Ransomware Attack Severity: CRITICAL Phase 1 — Preparation (Ongoing) 01. Verify backup integrity Tool: Backup software Role: IT Admin Time: 30 min 02. Confirm IR team contacts are current Tool: Contact list Role: IR Lead Time: 15 min Phase 2 — Detection & Analysis (Immediate / 0-1hr) 01. Identify affected endpoints via EDR Tool: CrowdStrike/SentinelOne Role: SOC Analyst 02. Determine ransomware variant using hash lookup Tool: VirusTotal, ID Ransomware Role: SOC Analyst Phase 3 — Containment (0-1hr) 01. Isolate infected systems from network 02. Disable affected user accounts 03. Block C2 IPs at firewall Phase 4 — Eradication (1-24hr) 01. Remove malware artifacts 02. Rebuild systems from clean images Phase 5 — Recovery (24-72hr) 01. Restore from last known good backup 02. Validate system integrity before reconnecting Phase 6 — Lessons Learned (Post-incident) 01. Conduct after-action review 02. Update playbook with new IOCs 03. Patch the vector used for initial access Escalation Contacts: CISO → Chief Information Security Officer Legal → General Counsel / Legal Team PR → Communications / PR Team Exec → CEO / Executive Leadership Executive Checklist: ☐ Declare incident and activate IR team ☐ Notify legal counsel ☐ Assess regulatory notification requirements ☐ Determine if ransom payment is being considered ☐ Notify cyber insurance provider ☐ Prepare external communications ``` ## 工作原理 1. 用户选择事件类型并提供组织背景信息 2. 应用程序通过 Anthropic API 将请求发送给 Claude AI 3. Claude 生成针对特定场景定制的、结构化的分阶段 Playbook 4. 结果渲染为交互式、可展开的 Playbook ## 框架对齐 此工具基于 **NIST SP 800-61 计算机安全事件处理指南** — 这是全球 SOC 团队、MSSP 和政府机构使用的行业标准框架。 ## 技术栈 - 原生 HTML / CSS / JavaScript（零依赖） - [Anthropic Claude API](https://docs.anthropic.com) — `claude-sonnet-4-20250514` - Space Mono + Manrope 字体 ## 学习概念 本项目展示了以下方面的实践知识： - NIST SP 800-61 事件响应框架 - 事件响应的所有阶段（从准备到经验总结） - Ransomware、Phishing、Data Breach 和 DDoS 响应流程 - SOC 分析师和 IR 团队的角色与职责 - 升级流程和利益相关者沟通 - 遏制、根除和恢复策略 - 事后分析和持续改进 ## 免责声明 此工具生成的 Playbook 仅供培训和安全准备用途。请务必根据您的具体环境调整 Playbook，并在发生真实事件时咨询合格的安全专业人员。 ## 许可证 MIT

标签：AI生成, Anthropic, APT攻击, CISA项目, CIS基准, Claude AI, DDoS, DLL 劫持, FTP漏洞扫描, HTML应用, NIST 800-61, NIST框架, Playbook生成器, 业务连续性, 内部威胁, 勒索软件, 后端开发, 多模态安全, 大语言模型, 安全合规, 安全编排, 应急响应流程, 应急预案, 抑制与 eradication, 数据可视化, 检测与分析, 网络代理, 网络安全, 配置错误, 隐私保护, 零依赖