hiagokinlevi/k1n-ir-playbooks-automation

# k1n-ir-playbooks-automation **事件响应手册、自动化 triage 工作流和 SOC 团队及蓝队的遏制自动化工具。** ## 概述 `k1n-ir-playbooks-automation` 是一个结构化、以实践者为中心的工具包，专为安全运营中心 (SOC) 分析师、事件响应人员和蓝队成员设计。它提供： - **运营手册**，涵盖 triage、遏制、根除和恢复阶段 - **自动化脚本**，用于安全、可审计的遏制操作（AWS 隔离、Azure 会话撤销、证据打包） - **事件记录和报告模板**，用于一致性文档记录 - **Pydantic 数据模式**，用于机器可读的事件状态 - **CLI 工具**，用于开启事件、管理严重程度、运行手册和生成报告 - **培训实验和教程**，用于新分析师入职培训 该工具遵循 NIST SP 800-61r2 事件响应生命周期，专为真实生产 SOC 环境设计。仓库结构如下： ``` k1n-ir-playbooks-automation/ ├── playbooks/ │ ├── triage/ # Alert validation and initial classification │ ├── containment/ # Isolation and containment procedures │ ├── eradication/ # Persistence removal and cleanup │ ├── recovery/ # Controlled service restoration │ └── incident-types/ # Type-specific response guidance ├── automations/ │ ├── evidence_packaging/ # Evidence collection and hash verification │ ├── cloud/ # Cloud containment automation (AWS, Azure, GCP) │ └── identity/ # Identity and session revocation ├── templates/ │ ├── incident-records/ # Incident record templates │ ├── timelines/ # Attack timeline templates │ ├── reports/ # Technical report templates │ └── communications/ # Executive communication templates ├── schemas/ # Pydantic data models ├── workflows/ # Incident state machine ├── cli/ # Click-based CLI entrypoint ├── docs/ # Architecture and model documentation ├── training/ # Tutorials and hands-on labs └── tests/ # Unit tests ``` ## 快速入门 ### 前置条件 - Python 3.11+ - AWS CLI 已配置（用于云自动化） - Azure PowerShell 模块（用于身份自动化） ### 安装 ``` # 克隆仓库 git clone https://github.com/hiagokinlevi/k1n-ir-playbooks-automation.git cd k1n-ir-playbooks-automation # 创建虚拟环境 python -m venv .venv source .venv/bin/activate # On Windows: .venv\Scripts\activate # 安装依赖项 pip install -e . # 复制并配置环境 cp .env.example .env # 使用环境设置编辑 .env 文件 ``` ### 开启您的第一个事件 ``` # 打开新事件 k1n-ir open-incident --type credential_compromise --severity high # 启动剧本 k1n-ir start-playbook --incident-id INC-20250101-001 --playbook triage/initial_triage # 调查后设置严重程度 k1n-ir set-severity --incident-id INC-20250101-001 --severity critical # 生成技术报告 k1n-ir generate-report --incident-id INC-20250101-001 --format markdown ``` ## 手册 | 手册 | 阶段 | 描述 | |----------|-------|-------------| | `triage/initial_triage` | Triage | 告警验证、分类、严重程度分配 | | `containment/compromised_credentials` | Containment | 凭据撤销、会话终止、MFA 强制执行 | | `containment/cloud_exposure` | Containment | 云资源隔离、策略修复 | | `eradication/remove_persistence` | Eradication | 持久性机制移除和验证 | | `recovery/controlled_return` | Recovery | 受控服务恢复检查清单 | | `incident-types/api_abuse` | 完整生命周期 | API 特定滥用响应 | | `incident-types/phishing` | 完整生命周期 | 钓鱼邮件和凭据窃取响应 | | `incident-types/secret_leakage` | 完整生命周期 | 泄露的凭据和密钥响应 | ## 自动化 | 脚本 | 平台 | 描述 | |--------|----------|-------------| | `evidence_packaging/packager.py` | 通用 | 创建带 SHA-256 清单的结构化证据包 | | `cloud/isolate_aws_instance.py` | AWS | 通过隔离安全组隔离 EC2 实例 | | `identity/revoke_azure_sessions.ps1` | Azure AD | 撤销被入侵用户的所有活动会话 | ## 事件状态机 事件按以下状态推进： ``` DETECTED → TRIAGING → CONFIRMED → CONTAINING → ERADICATING → RECOVERING → CLOSED ↑ POST_INCIDENT_REVIEW ←┘ ``` 误报可在任何状态使用 `CLOSED_FALSE_POSITIVE` 关闭。 ## 配置 所有运行时行为通过 `.env` 控制（参见 `.env.example`）： | 变量 | 默认值 | 描述 | |----------|---------|-------------| | `INCIDENT_TYPE` | `generic` | 新记录的默认事件类型 | | `SEVERITY_MODEL` | `standard` | 严重程度分类模型 | | `EVIDENCE_DIR` | `./evidence` | 本地证据存储目录 | | `SAFE_AUTOMATION_MODE` | `true` | 为所有自动化启用 dry-run 模式 | | `APPROVAL_REQUIRED_FOR_CONTAINMENT` | `true` | 遏制前需要明确确认 | | `MASKING_MODE` | `true` | 在日志和报告中屏蔽敏感数据 | ## 安全 请通过 [SECURITY.md](SECURITY.md) 中描述的流程报告漏洞。请勿为安全发现公开提交问题。 ## 贡献 参见 [CONTRIBUTING.md](CONTRIBUTING.md) 了解开发设置、编码标准和拉取请求流程。 ## 许可证 CC BY 4.0 — 参见 [LICENSE](LICENSE)。免费使用、共享和改编，但需注明来源 **Hiago Kin Levi**。

标签：AI合规, AMSI绕过, AWS, Azure, Containment, DPI, ESC漏洞, FTP漏洞扫描, GCP, GPT, Incident Response, Pydantic, Python, Security Operations, SOAR, Triage, 威胁检测, 安全培训, 安全手册, 安全报告, 安全编排, 安全运营, 库, 应急响应, 恶意软件响应, 扫描框架, 无后门, 漏洞利用检测, 漏洞管理, 终端检测, 网络调试, 自动化, 证据收集, 逆向工具