develku/Incident-Investigation-Portfolio

# 事件调查组合 专业事件调查报告，分析来自已发布的 CISA 公告、供应商漏洞披露报告和 CVE 案例研究的真实世界网络安全事件。每份报告均从安全运营分析师的视角撰写，模拟在自身环境中调查该事件。 ## 这展示了什么 - **事件调查** — 从初始告警到遏制建议的端到端分析 - **威胁情报落地** — 将已发布的公告转化为可操作的检测与响应 - **专业报告** — 执行摘要、取证时间线与 IOC 提取，用于利益相关者沟通 - **MITRE ATT&CK 映射** — 技术识别与基于证据的分类 - **检测工程** — 将调查发现转化为检测规则与监控改进 ## 调查列表 | # | 事件 | CVE / 公告 | 类别 | 报告 | |---|---|---|---|---| | 01 | MOVEit Transfer SQL 注入 — Cl0p 数据窃取活动 | CVE-2023-34362 / CISA AA23-158A | Web 应用利用 + 数据外泄 | [报告](investigations/01-moveit-transfer-cve-2023-34362.md) | | 02 | Scattered Spider 帮助台社会工程 — ALPHV/BlackCat 勒索软件 | CISA AA23-320A | 社会工程 + 身份妥协 + 勒索软件 | [报告](investigations/02-scattered-spider-okta-phishing.md) | ## MITRE ATT&CK 覆盖 | 战术 | 技巧 ID | 技巧名称 | 调查 | |---|---|---|---| | 侦察 | T1593.001 | 搜索开放网站/域名：社交媒体 | [02 — Scattered Spider](investigations/02-scattered-spider-okta-phishing.md) | | 初始访问 | T1190 | 公开面向应用程序的利用 | [01 — MOVEit](investigations/01-moveit-transfer-cve-2023-34362.md) | | 初始访问 | T1566.004 | 钓鱼：语音鱼叉式钓鱼 | [02 — Scattered Spider](investigations/02-scattered-spider-okta-phishing.md) | | 凭证访问 | T1621 | 多因素身份验证请求生成 | [02 — Scattered Spider](investigations/02-scattered-spider-okta-phishing.md) | | 权限提升 | T1068 | 利用以提升权限 | [01 — MOVEit](investigations/01-moveit-transfer-cve-2023-34362.md) | | 权限提升 | T1078.004 | 有效账户：云账户 | [02 — Scattered Spider](investigations/02-scattered-spider-okta-phishing.md) | | 持久化 | T1505.003 | 服务器软件组件：Web Shell | [01 — MOVEit](investigations/01-moveit-transfer-cve-2023-34362.md) | | 持久化 | T1136.001 | 创建账户：本地账户 | [01 — MOVEit](investigations/01-moveit-transfer-cve-2023-34362.md) | | 持久化 | T1098.001 | 账户操纵：附加云凭证 | [02 — Scattered Spider](investigations/02-scattered-spider-okta-phishing.md) | | 持久化 | T1219 | 远程访问软件 | [02 — Scattered Spider](investigations/02-scattered-spider-okta-phishing.md) | | 防御规避 | T1036 | 伪装 | [01 — MOVEit](investigations/01-moveit-transfer-cve-2023-34362.md) | | 防御规避 | T1036.005 | 伪装：匹配合法名称或位置 | [01 — MOVEit](investigations/01-moveit-transfer-cve-2023-34362.md) | | 防御规避 | T1562.001 | 削弱防御：禁用或修改工具 | [02 — Scattered Spider](investigations/02-scattered-spider-okta-phishing.md) | | 发现 | T1083 | 文件与目录发现 | [01 — MOVEit](investigations/01-moveit-transfer-cve-2023-34362.md) | | 横向移动 | T1021.001 | 远程服务：远程桌面协议 | [02 — Scattered Spider](investigations/02-scattered-spider-okta-phishing.md) | | 收集 | T1005 | 来自本地系统的数据 | [01 — MOVEit](investigations/01-moveit-transfer-cve-2023-34362.md) | | 收集 | T1530 | 来自云存储对象的数据 | [02 — Scattered Spider](investigations/02-scattered-spider-okta-phishing.md) | | 外泄 | T1041 | 通过 C2 通道外泄 | [01 — MOVEit](investigations/01-moveit-transfer-cve-2023-34362.md) | | 影响 | T1486 | 数据加密以产生影响 | [02 — Scattered Spider](investigations/02-scattered-spider-okta-phishing.md) | ## 使用的工具 | 工具 | 用途 | 调查 | |---|---|---| | Splunk | SIEM 日志关联与 SPL 查询 | 01, 02 | | Okta 系统日志 | 身份提供者身份验证与管理员审计 | 02 | | Azure AD 登录与审核日志 | 云身份事件与设备注册 | 02 | | Sysmon | Windows 端点进程/文件/网络遥测 | 02 | | CrowdStrike Falcon | EDR 检测与响应遥测 | 02 | | Wireshark | 网络流量与 PCAP 分析 | — | | Chainsaw | Windows 事件日志快速分析 | — | | KAPE | 工件分类与收集 | — | | VirusTotal | IOC 丰富与恶意软件分析 | 01 | | MITRE ATT&CK | 技术分类与映射 | 01, 02 | ## 调查方法论 每次调查遵循在 [docs/investigation-methodology.md](docs/investigation-methodology.md) 中记录的一致方法： 1. **分类与范围界定** — 理解告警并识别可用证据 2. **证据收集** — 收集日志、工件与已发布 IOC 3. **分析** — 关联事件、构建时间线、提取 IOC、映射至 ATT&CK 4. **报告** — 执行摘要、技术分析、建议 ## 报告模板 可重用的调查报告模板位于 [TEMPLATE.md](TEMPLATE.md)。 ## 项目结构 ``` Incident-Investigation-Portfolio/ ├── README.md # This file ├── TEMPLATE.md # Investigation report template ├── docs/ │ └── investigation-methodology.md # Systematic DFIR approach ├── investigations/ │ └── [investigation reports] # One file per incident └── attachments/ └── [diagrams, screenshots] # Supporting evidence ``` ## 相关项目 | 项目 | 描述 | |---|---| | [AD-Lab-Setup](https://github.com/develku/AD-Lab-Setup) | 自动配置 Active Directory 林并提供 SOC 检测场景 | | [SIEM-Detection-Lab](https://github.com/develku/SIEM-Detection-Lab) | Splunk SIEM 部署与日志采集基础设施 | | [Detection-Engineering-Lab](https://github.com/develku/Detection-Engineering-Lab) | 检测规则、Sigma 规则、仪表板与告警调优 | | [Attack-Simulation-Lab](https://github.com/develku/Attack-Simulation-Lab) | 使用 Atomic Red Team 进行对手模拟并验证检测 | ## 许可证 本项目采用 MIT License 授权。详见 [LICENSE](LICENSE)。

标签：CISA, CISA项目, Cloudflare, CVE, IOC提取, MITRE ATT&CK, 事件调查, 公开面对应用漏洞, 勒索软件, 取证时间线, 威胁情报, 安全报告, 开发者工具, 数字取证, 数字签名, 案例研究, 检测规则, 深度包检测, 漏洞分析, 监控改进, 社会工程, 管理员页面发现, 网络安全分析, 网络资产发现, 自动化脚本, 路径探测, 身份窃取, 防御加固