batuhan-satilmis/incident-response-playbook

# 应急响应剧本 [](./LICENSE) [](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final) 每个操作手册的结构都是一样的： ``` 1. Detection signals — what tripped this runbook 2. First 15 minutes — preserve, contain, notify 3. Investigation — what to confirm, what to collect 4. Eradication — how to remove the foothold 5. Recovery — how to safely resume 6. Post-incident — RCA and lessons learned ``` **最初的 15 分钟**是故意设计得如此简短的。当出现紧急情况时，响应人员不需要一本 40 页的手册；他们只需要按正确顺序执行的 5 个操作。 ## 可用的操作手册 | 操作手册 | 何时打开 | |---|---| | [00-master-checklist.md](./runbooks/00-master-checklist.md) | 任何情况。总是从这里开始。 | | [01-cloud-credential-compromise.md](./runbooks/01-cloud-credential-compromise.md) | 怀疑 AWS、Azure 或 GCP 凭证泄露/被盗。 | | [02-ransomware-endpoint.md](./runbooks/02-ransomware-endpoint.md) | 在工作站或服务器上检测到勒索软件。 | | [03-business-email-compromise.md](./runbooks/03-business-email-compromise.md) | 怀疑用户的 M365 / Google Workspace 邮箱被攻击者控制。 | | [04-data-exfiltration.md](./runbooks/04-data-exfiltration.md) | 出现未经授权的数据外发证据。 | ## 模板 | 模板 | 何时使用 | |---|---| | [executive-summary.md](./templates/executive-summary.md) | 在事件发生期间向领导层发出的第一份书面沟通。 | | [incident-record.md](./templates/incident-record.md) | 事件的唯一持久记录。边处理边填写。 | | [post-incident-report.md](./templates/post-incident-report.md) | 在事件结束后的 72 小时内编写。 | ## 角色 本剧本假设组织规模较小（没有专门的 SOC）。它期望： - **事件指挥官 (IC)**：负责运行响应。几乎从不由进行调查的人员兼任。 - **调查员**：亲自处理日志、主机和身份。 - **沟通负责人**：编写高管摘要和面向客户的沟通内容。 - **记录员**：维护事件记录。 在一家 5 人的公司里，一个人可以身兼两职——但绝不能是 IC + 调查员。IC 负责维护时间线；调查员则埋头于调查工作。 ## 标准对齐 | 标准 | 体现之处 | |---|---| | NIST SP 800-61 (计算机安全事件处理指南) | 阶段结构（准备、检测、遏制、根除、恢复、事件后）。 | | NIST CSF | 检测 (DE.AE)、响应 (RS)、恢复 (RC) 系列。 | | HIPAA 安全规则 | 涉及 PHI 时的违规通知时间表和内容。 | | SOC 2 CC7.3 | 记录并测试过的事件响应流程。 | ## 许可证 MIT

标签：AWS安全, Azure安全, BEC, GCP安全, M365安全, NIST 800-61, Runbook, 事件调查, 云凭证泄露, 企业安全, 初始15分钟响应, 勒索软件, 商业电子邮件攻击, 安全合规, 安全手册, 安全模板, 安全运营, 库, 应急响应, 应急处置, 扫描框架, 数据渗出, 数据窃取, 网络代理, 网络安全, 网络资产管理, 防御加固, 隐私保护