x-lga/soc-incident-response-playbook

# SOC 事件响应 Playbook 基于 Security+ 课程和 SIEM 实践构建的 Tier 1 SOC 分析师 playbook。涵盖钓鱼邮件分类、失败认证调查、误报分类、Splunk SPL 查询以及 CVSS 参考。 ## 目录 | 文件 | 用途 | |------|---------| | `playbooks/01-phishing-triage.md` | 从举报到隔离的端到端钓鱼响应 | | `playbooks/02-malware-alert-response.md` | 端点恶意软件检测与遏制 | | `playbooks/03-failed-auth-investigation.md` | 认证失败模式、Splunk 查询、暴力破解检测 | | `playbooks/04-false-positive-classification.md` | 误报决策矩阵与文档标准 | | `splunk/useful-spl-queries.md` | 用于认证、网络和进程事件的生产级 SPL 查询 | | `splunk/dashboard-design-notes.md` | Splunk Free 的安全概览仪表板结构 | | `reference/cvss-quick-reference.md` | CVSS 评分、严重性映射、Nessus 对齐 | | `reference/mfa-enforcement-checklist.md` | MFA 推出验证与缺口修复 | | `reference/iam-access-review-procedure.md` | 定期访问审查步骤与文档 | ## 展示技能 - **钓鱼邮件分类：** Header 分析、SPF/DKIM/DMARC 解读、URL 沙箱、隔离 - **SIEM：** 用于认证、网络和进程事件的 Splunk SPL 查询；仪表板创建 - **漏洞管理：** CVSS 评分、Nessus 严重性对齐、修复优先级排序 - **ITIL 4：** P1–P4 事件分类、升级标准、文档标准 - **Security+：** 事件响应生命周期、身份安全、IAM、MFA 强制执行 ## 实验环境 - Splunk Free（本地实例），通过 Server 2022 转发 Windows Event Log - Nessus Essentials - 针对家庭实验室 VM 的漏洞扫描 - OWASP Juice Shop - 授权的渗透测试目标，用于 SQL 注入和 XSS 识别 - Kali Linux - 使用 Burp Suite 进行 Web 应用程序测试 ## 成果 这些 playbook 复刻了真实 Tier 1 SOC 分析师的工作流程。仅钓鱼 playbook 就涵盖了完整周期：用户举报 → Header 分析 → 沙箱检测 → 分类 → 隔离 → 用户教育 → 升级。Splunk 查询均为生产就绪状态，并在真实的 SIEM 环境中经过测试。

标签：Burglary Suite, CISA项目, CVSS评分, GitHub Advanced Security, Go语言工具, GPT, ITIL, IT服务管理, MFA, Nessus, PE 加载器, Playbook, SPL查询, Windows日志, 免杀技术, 初级安全分析师, 多因素认证, 安全加固, 安全实验环境, 安全运营, 安全运营中心, 应急预案, 扫描框架, 暴力破解检测, 漏洞管理, 网络映射, 误报分析, 身份与访问管理, 钓鱼邮件分析