murpheelee/incident-response-playbook

# 事件响应剧本 ## 目标 制定一套全面且企业级的事件响应剧本，供安全团队在活跃事件期间使用。每个剧本遵循标准化的结构，映射到 MITRE ATT&CK 技术，并包含决策树、遏制选项和沟通模板——展示了对安全领导层至关重要的 IR 项目开发技能。 ## IR 生命周期 (NIST SP 800-61) ``` ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │1. Preparation│──▶│2. Detection &│──▶│3. Containment│──▶│4. Post- │ │ │ │ Analysis │ │ Eradication │ │ Incident │ │ │ │ │ │ & Recovery │ │ Activity │ └──────────────┘ └──────────────┘ └──────────────┘ └──────────────┘ ``` ## 剧本索引 | # | 剧本 | 严重程度 | MITRE ATT&CK | 状态 | |---|----------|----------|--------------|--------| | 1 | [恶意软件感染](#playbook-1-malware-infection) | 高 | T1059, T1055, T1071 | 完成 | | 2 | [网络钓鱼攻击](#playbook-2-phishing-attack) | 中-高 | T1566, T1534, T1078 | 完成 | | 3 | [暴力破解 / 凭证填充](#playbook-3-brute-force--credential-stuffing) | 高 | T1110, T1078 | 完成 | | 4 | [勒索软件](#playbook-4-ransomware) | 严重 | T1486, T1490, T1027 | 完成 | | 5 | [内部威胁](#playbook-5-insider-threat) | 高 | T1078, T1567, T1048 | 完成 | | 6 | [未授权访问](#playbook-6-unauthorized-access) | 高 | T1078, T1021 | 完成 | ## 剧本 1：恶意软件感染 ### 检测指标 - EDR/AV 对已知恶意软件签名或可疑行为的警报 - 异常的出站网络连接（C2 信标） - 意外的进程执行或文件修改 - 用户报告系统性能缓慢或出现弹窗 ### 严重程度分类 | 指标 | 低 | 中 | 高 | 严重 | |-----------|-----|--------|------|----------| | 单个终端，已知恶意软件，已自动隔离 | X | | | | | 多个终端，未知变种 | | | X | | | 观察到横向移动 | | | | X | | 已确认数据窃取 | | | | X | ### 响应流程 **遏制（立即 —— 15 分钟内）** 1. 将受影响的终端从网络中断开（禁用 NIC 或使用 EDR 进行网络隔离） 2. 在采取任何修复措施之前，保留易失性内存（RAM 转储） 3. 在防火墙/代理处封锁已识别的恶意 IP/域名 4. 如果怀疑凭证被盗，禁用受损的用户账户 **根除** 1. 在隔离的终端上运行完整的 EDR 扫描 2. 移除恶意文件、注册表键值、计划任务 3. 识别并移除持久化机制 4. 检查相邻系统上的横向移动痕迹 **恢复** 1. 如果检测到 Rootkit 或大规模受损，重镜像终端 2. 如果数据完整性存疑，从最后的已知干净备份恢复 3. 在增强监控下重新启用网络访问 4. 重置所有访问过受损系统的账户凭证 **事件后处理** 1. 记录时间线、IOC 和采取的措施 2. 根据观察到的 TTP 更新检测规则 3. 在 5 个工作日内召开经验总结会议 4. 使用任何程序改进措施更新此剧本 ## 剧本 2：网络钓鱼攻击 ### 检测指标 - 用户报告可疑电子邮件 - 电子邮件安全网关标记恶意附件/链接 - 多个用户收到相同的可疑电子邮件 - 电子邮件交互后出现异常的登录活动 ### 响应流程 **遏制（立即）** 1. 从所有邮箱中撤回钓鱼电子邮件（管理员清除） 2. 在电子邮件网关处封锁发件人域名/IP 3. 在 Web 代理处封锁任何恶意 URL 4. 如果已输入凭证：立即重置用户密码并撤销活跃会话 **分析** 1. 在沙箱中提取并引爆附件 2. 分析电子邮件标头以查找真实来源 3. 检查是否有用户点击了链接（代理日志、电子邮件追踪像素） 4. 确定范围：有多少用户收到了该电子邮件？ **沟通** 1. 如果 < 10 名用户受影响：直接通知 2. 如果是全组织范围：向全体员工发布安全公告 3. 如果客户数据面临风险：让法律和沟通团队介入 ## 剧本 3：暴力破解 / 凭证填充 ### 检测指标 - 15 分钟内来自单一来源的 10 次以上失败身份验证尝试 - 失败尝试后紧接着成功登录 - 来自同一 IP 对多个账户的登录尝试 - 来自地理位置异常地点的尝试 ### KQL 检测查询 ``` // Detect brute force: 10+ failures followed by success let threshold = 10; let timeframe = 15m; SecurityEvent | where TimeGenerated > ago(1h) | where EventID in (4625, 4624) | summarize FailedAttempts = countif(EventID == 4625), SuccessfulAttempts = countif(EventID == 4624), FirstEvent = min(TimeGenerated), LastEvent = max(TimeGenerated) by IpAddress, Account | where FailedAttempts >= threshold | where SuccessfulAttempts > 0 | where (LastEvent - FirstEvent) <= timeframe | project Account, IpAddress, FailedAttempts, SuccessfulAttempts, FirstEvent, LastEvent ``` ### 响应流程 **遏制** 1. 在防火墙处封锁源 IP（临时 24 小时封锁） 2. 如果检测到成功登录：立即禁用受损账户 3. 强制重置目标账户的密码 4. 启用或验证已强制执行 MFA **调查** 1. 检查凭证是否在受损后被用于访问任何资源 2. 审查该账户有权访问哪些数据/系统 3. 检查暗网上的凭证泄露（Have I Been Pwned，威胁情报源） ## 剧本 4：勒索软件 ### 检测指标 - 大规模文件加密或重命名（`.encrypted`、`.locked` 扩展名） - 终端或文件共享上出现勒索信文件 - 卷影副本删除警报 - 已知的勒索软件进程执行 ### 响应流程 **关键：切勿** - 切勿关闭受影响的系统（保留内存取证） - 未经高管/法律授权切勿支付赎金 - 切勿在未使用经过验证的工具的情况下尝试解密 - 切勿将备份介质连接到受感染的系统 **遏制（立即 —— 5 分钟内）** 1. 将受影响的系统从网络中断开（拔掉网线，禁用 WiFi） 2. 在交换机/防火墙级别隔离受影响的网段 3. 禁用共享驱动器和网络共享以防止传播 4. 保留至少一个受影响系统的取证镜像 **升级** 1. 立即通知 CISO/安全总监 2. 联系事件响应留存团队（如适用） 3. 通知法律顾问 —— 潜在的监管通知要求 4. 在保单要求的时间内通知网络保险承保方 **恢复** 1. 识别勒索软件变种（ID Ransomware，供应商威胁情报） 2. 检查是否有可用的解密工具（No More Ransom 项目） 3. 从离线/不可变备份恢复（首先验证完整性） 4. 如果备份受损，从黄金镜像重建 ## 剧本 5：内部威胁 ### 检测指标 - 大容量数据下载或传输到外部存储 - 访问正常工作职能之外的资源 - 在非工作时间访问敏感系统 - 即将离职或处于绩效改进计划（PIP）通知期的员工访问敏感数据 - DLP 警报由出站电子邮件附件触发 ### 响应流程 **遏制（首先与 HR 和法律部门协调）** 1. 在咨询 HR/法律部门之前，切勿惊动当事人 2. 加强对该用户账户和终端的监控 3. 保留所有证据（电子邮件、文件访问日志、DLP 日志） 4. 如果面临紧迫的数据丢失风险：禁用账户访问权限 **调查** 1. 审查过去 30-90 天的文件访问模式 2. 检查 USB/可移动介质使用日志 3. 审查电子邮件和云共享活动（OneDrive、SharePoint、个人电子邮件） 4. 面谈经理以了解员工的行为变化 ## 剧本 6：未授权访问 ### 检测指标 - 来自意外地理位置的登录 - 不可能旅行警报（短时间内相距甚远的两次登录） - 非特权账户访问高价值资源 - 来自异常来源的非工作时间 VPN 连接 ### 响应流程 **遏制** 1. 立即禁用受损账户 2. 终止所有活跃会话（撤销令牌） 3. 在边界处封锁源 IP 4. 检查任何持久化机制（新账户、计划任务、SSH 密钥） **调查** 1. 确定初始访问途径（网络钓鱼、凭证重用、利用漏洞） 2. 绘制未授权会话期间访问的所有资源图 3. 检查数据窃取指标 4. 确定是否发生了横向移动 ## 沟通模板 ### 初始通知（致管理层） ``` Subject: [SEVERITY] Security Incident - [Type] - [Date/Time] An active security incident has been identified requiring immediate attention. Incident Type: [Malware/Phishing/Ransomware/etc.] Severity: [Critical/High/Medium/Low] Systems Affected: [Count and description] Current Status: [Containment in progress / Under investigation] Business Impact: [Known or estimated impact] Next update will be provided in [timeframe]. Incident Commander: [Name] Contact: [Phone/Email] ``` ### 全员安全公告 ``` Subject: Security Advisory - [Brief Description] The security team has identified [brief description of threat]. Required Action: - [Specific action employees should take] - [What to report and to whom] - [What NOT to do] If you believe you are affected, contact the security team immediately at [contact]. ``` ## 升级矩阵 | 严重程度 | 响应时间 | 升级路径 | 沟通 | |----------|--------------|-----------------|---------------| | 严重 | 15 分钟 | SOC → IR 负责人 → CISO → CTO/CEO | 1 小时内进行高管简报 | | 高 | 30 分钟 | SOC → IR 负责人 → 安全经理 | 2 小时内通知管理层 | | 中 | 2 小时 | SOC → IR 负责人 | 4 小时内通知团队负责人 | | 低 | 8 小时 | SOC 分析师 | 记录在工单系统中 | ## 展示的关键技能 - NIST SP 800-61 事件响应生命周期实施 - SANS 事件处理方法论 - 用于检测和响应的 MITRE ATT&CK 技术映射 - KQL 检测查询编写 - 事件升级和沟通流程 - 跨职能协调（法律、HR、高管领导层） - IR 程序开发和文档编写 ## 参考资料 - [NIST SP 800-61 Rev 2 — 计算机安全事件处理指南](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final) - [SANS 事件处理人员手册](https://www.sans.org/white-papers/33901/) - [MITRE ATT&CK 框架](https://attack.mitre.org/) - [No More Ransom 项目](https://www.nomoreransom.org/)

标签：Cloudflare, CSOC, CSP, FTP漏洞扫描, GPT, IP 地址批量处理, IR剧本, MITRE ATT&CK, NIST SP 800-61, PoC, SANS IR, SecOps, 云安全架构, 企业安全, 决策树, 勒索软件, 安全标准, 安全编排, 安全运营, 库, 应急响应, 恶意软件, 扫描框架, 抑制与恢复, 暴力破解, 检测与分析, 漏洞管理, 网络安全框架, 网络资产管理, 防御加固