secwexen/security-playbooks
GitHub: secwexen/security-playbooks
一个面向 SOC 分析师和蓝队的安全知识库,整合了 MITRE ATT&CK 攻击模拟场景、Sigma/YARA/Suricata 检测规则、日志分析工作流和实践实验室。
Stars: 1 | Forks: 0
# Security Playbooks
**官方网站:** [https://secwexen.github.io/security-playbooks/](https://secwexen.github.io/security-playbooks/)
[](https://github.com/secwexen/security-playbooks/actions/workflows/github-code-scanning/codeql)
[](https://github.com/secwexen/cyber-threat-playbook/blob/main/LICENSE)
[](https://github.com/secwexen/cyber-threat-playbook)
**Security Playbooks** 是一个开源、高质量的网络安全仓库,包含 **MITRE ATT&CK 攻击模拟**、**检测工程规则** (Sigma, YARA, Suricata)、**事件响应实验室**、**日志分析工作流**以及**威胁狩猎 Playbook**。
本项目专为 SOC 分析师、蓝队成员、威胁猎人和网络安全专家设计,旨在通过实战示例构建真实世界的技能。
## 关于
**Security Playbooks** 是一个面向网络安全专家的开源、教育及作品集导向的仓库。
它提供了以下内容的结构化集合:
- 基于 MITRE ATT&CK 的攻击场景
- Sigma、YARA 和 Suricata 检测规则
- 概念验证 脚本
- 实验室 walkthrough 和实践练习
本仓库旨在通过安全且受控的环境,**展示专业的网络安全技能**,包括威胁狩猎、事件响应和渗透测试工作流。
## 概览
**Security Playbooks** 旨在为用户提供对现实世界网络安全工作流的清晰且实用的视角:
- **检测规则:** 可直接用于威胁检测和分析的 Sigma/YARA/Suricata 规则。
- **场景:** 基于 MITRE ATT&CK 的模拟攻击,包括钓鱼、恶意软件和横向移动练习。
- **实验室:** 包含 PoC 脚本的动手实验室练习,用于在隔离环境中进行测试和研究。
- **示例:** 示例输出、屏幕截图和日志,用于可视化结果。
- **文档与工具:** 快速入门指南、架构说明和可选的辅助脚本,以支持学习和实验。
## 威胁模型
本 Playbook 假设一个现实的企业环境对手行为。它仅适用于教育和实验室目的。
- **目标环境:** Windows Active Directory (企业网络)
- **日志来源:**
- Windows Event Logs (Security, Sysmon)
- 网络流量 (PCAP)
- 端点检测与响应 (EDR) 遥测数据
- **对手画像:** 执行常见企业攻击的 APT 类行为者
- **攻击面:** 端点、域控制器、用户工作站
- **涵盖的攻击向量:**
- 命令和脚本解释器执行 (T1059)
- 钓鱼和社会工程学 (T1566)
- 恶意软件执行和横向移动
- **假设:**
- 已启用日志记录和监控 (Sysmon, Security Logs)
- 具备 SIEM 或日志聚合能力
- 场景仅在隔离的实验室环境中运行
- **目标:**
- 展示检测工程和威胁狩猎工作流
- 为作品集和学习目的提供动手实验室练习
## 场景
本仓库包含多个 Playbook 风格的场景:
| Scenario | Type | MITRE ATT&CK | Playbook File |
|----------|------|--------------|---------------|
| PowerShell Execution | T1059 | Command & Scripting Interpreter | [T1059_PowerShell_Execution.md](scenarios/T1059_PowerShell_Execution.md) |
| Malware Analysis | Malware | Various | [malware_analysis/README.md](scenarios/malware_analysis/README.md) |
| Phishing Simulation | Social Engineering | T1566 | [phishing_simulation/README.md](scenarios/phishing_simulation/README.md) |
## 功能特性
- 基于 MITRE ATT&CK 的攻击场景
- Sigma / YARA / Suricata 检测规则
- 适用于隔离实验室环境的 PoC 示例
- 日志分析样本
- 威胁狩猎实践工作流
## 适用人群
Security Playbooks 旨在供网络安全专家使用,帮助他们在一个结构化和受控的环境中练习、分析和理解现实世界的网络威胁:
- **SOC 分析师** – 用于检测工程、警报分析和日志调查
- **威胁猎人** – 用于基于假设的狩猎和对手行为分析
- **蓝队工程师** – 用于构建和测试检测规则 (Sigma, YARA, Suricata)
- **网络安全学生** – 用于动手学习和作品集开发
- **红队成员 (仅限实验室)** – 用于对手模拟和受控攻击模拟
## 仓库结构
```
security-playbook/
├─ detection-rules/ # Sigma, YARA, Suricata rules for threat detection
├─ scenarios/ # MITRE ATT&CK-based attack simulations
├─ labs/ # PoC scripts and lab walkthroughs
├─ examples/ # Sample outputs, logs, and screenshots
├─ docs/ # Documentation and guides
└─ tools/ # Helper scripts and parsers
```
## 快速入门
```
git clone https://github.com/secwexen/security-playbook.git
cd security-playbook
```
有关完整详细信息,请参阅 [quick_start.md](docs/quick_start.md) 文件。
## 运行示例
本仓库包含多个教育脚本和检测规则。
以下是用于运行每个组件的命令。
有关完整详细信息,请参阅 [RUN_COMMANDS.md](docs/RUN_COMMANDS.md) 文件。
### 快速启动 (单条命令)
要快速测试项目,请运行:
```
python labs/lab2_log_analysis/parser.py examples/malware_log_example.txt
```
## 道德使用
本仓库中的所有工具**严格用于教育和道德目的**。
它们旨在用于:
- 研究和学习
- 在隔离环境中进行的实验室实验
我**不**支持或纵容任何形式的非法活动。
## 许可证
版权所有 © 2026 secwexen。
本项目基于 **MIT License** 授权。
有关完整详细信息,请参阅 [LICENSE](LICENSE) 文件。
## 免责声明
本仓库的内容仅用于教育和研究目的。仓库所有者不对误用或法律后果承担任何责任。
有关完整详细信息,请参阅 [DISCLAIMER.md](/DISCLAIMER.md)。
## 安全
有关安全使用和报告漏洞的指导,请参阅 [SECURITY.md](/SECURITY.md)。
## 开发状态
**Security Playbooks** 目前处于 **Active Development** 阶段。
## 注意
脚本、场景和检测规则仅用于**教育和实验室用途**。
## 作者
**Secwexen** – 项目作者、负责人及维护者
**GitHub:** [github.com/secwexen](https://github.com/secwexen)
标签:BurpSuite集成, Cloudflare, DNS 反向解析, Metaprompt, MITRE ATT&CK, PoC, Sigma 规则, Suricata, YARA, 云资产可视化, 域名分析, 子域枚举, 安全剧本, 安全运营, 实验室, 扫描框架, 攻击模拟, 数据展示, 暴力破解, 漏洞复现, 现代安全运营, 红队, 网络安全, 逆向工具, 隐私保护, 驱动签名利用