mello-io/SIRT

# S.I.R.T. - 安全事件响应记录 **实时访问:** [sirt-five.vercel.app](https://sirt-five.vercel.app/) | **技能包:** [下载 v1.0](https://github.com/mello-io/SIRT/releases/tag/skill-v1.0) ## 问题 一级 SOC 分析员是抵御安全事件的第一道防线，但他们往往缺乏应对现实世界分类所需的速度和复杂性。在“警报触发”与“决策制定”之间的差距，正是事件被误处理、延迟升级或错误关闭的地方。 SOAR 平台通过自动化剧本为资源充足的组织解决了这个问题，但大部分安全团队并不具备 SOAR。他们依赖部落知识、非正式运行手册和分析员直觉：这些方法都无法扩展，也无法保持一致性。 **S.I.R.T. 填补了这一空白。** 它为组织生成高度特定、堆栈感知、程序化的事件响应检查清单，以适配组织确切的安全工具集，让分析员及其内部 SOC AI 能够更快行动、更彻底调查，并以信心做出可辩护的决策点。 S.I.R.T. 不摄入实时数据，也不连接生产系统。它是一个程序化智能层；S.I.R.T. 为人类所做的，正如 SOAR 为机器所做的一样。 ## 工作原理 ### 路径 A — API 密钥（完整网页应用） ``` 01 Set up your stack → Select your security tools from 60+ options across 9 categories. Export a portable org-sec-stack.md profile. 02 Select incident type → Choose from 22 incident sub-types across 7 categories. Select the affected asset type. Enter your LLM API key. 03 Download checklist → Get a phase-structured, MITRE-tagged, tool-specific IR checklist as a portable .md file, ready for the analyst or their SOC AI. ``` ### 路径 B — Claude 技能（无需 API 密钥） ``` 01 Download skill bundle → Download SIRT-skill-bundle-v1.0.zip from GitHub Releases. Upload the 4 skill files to a Claude Pro/Team/Enterprise Project. 02 Generate config files → Use the web app to generate your org-sec-stack.md and incident-type.md. No API key needed for this step. 03 Run in Claude → Upload both files to your Claude Project and type: "Generate my IR checklist." ``` ## 功能特性 | 功能 | 详情 | | --- | --- | | **22 种事件类型** | 7 类：终端/主机、网络、身份、数据、应用/网页、云、社会工程 | | **60+ 安全工具** | 9 个堆栈类别，包含映射的公开文档 | | **MITRE ATT&CK 标记** | 每个检查清单均包含指向 attack.mitre.org 的技术引用 | | **多 LLM 支持** | Anthropic（Claude）、OpenAI（GPT-4o）、Google（Gemini）、Mistral | | **自带密钥（BYOK）** | 携带自有 API 密钥，通过 Vercel 函数代理，永不存储 | | **Claude 技能** | 无需 API 密钥路径；将技能包上传至 Claude 项目并本地运行 | | **事件类型生成器** | 在 60 秒内生成可移植的 `incident-type.md` 会话文件 | | **零数据保留** | 服务器端不持久化任何内容；组织配置保存在本地。密钥在标签页关闭时清除 | | **6 个响应阶段** | 初始验证 → 范围评估 → 遏制 → 根除 → 恢复 → 报告 | | **决策点** | 每个检查清单至少包含 3 个明确的 `⚠️ DECISION POINT` 项 | | **工具查询块** | 真实、特定于工具的语法（SPL、KQL、YARA 等），适用于堆栈中的每个工具 | | **可移植输出** | 下载为 `SIRT-[事件类型]-[日期].md`；可离线阅读、可分享、可被 AI 摄入 | | **审计文件夹** | 公开的 `/audit` 目录，包含安全加固文档 | ## 事件类型库 | 类别 | 子类型 | | --- | --- | | 🖥️ 终端/主机 | 恶意软件执行、勒索软件、可疑进程 / 代码注入 | | 🌐 网络 | DDoS / 流量攻击、C2 / 信标、侦察 / 网络扫描、横向移动 | | 🔑 身份与访问 | 凭证暴力破解、特权账户滥用、MFA 绕过 / 推送疲劳、账户接管 | | 📦 数据 | 数据外泄、内部威胁 / 数据滥用、未经授权的数据访问 | | 🌍 应用/网页 | 网络钓鱼 / 针对性钓鱼、Web 应用攻击、供应链破坏 | | ☁️ 云与基础设施 | 云账户破坏、错误配置 / 公开暴露、容器 / Kubernetes 威胁 | | 🎭 社会工程 | 商业邮件破坏（BEC）、语音钓鱼 / 短信钓鱼 | ## 安全堆栈类别 | 类别 | 示例工具 | | --- | --- | | SIEM | Splunk、Microsoft Sentinel、IBM QRadar、Elastic、Google Chronicle | | NGFW | Palo Alto PAN-OS、Fortinet FortiGate、Cisco Firepower、Check Point | | EDR / MDR | CrowdStrike Falcon、Microsoft Defender for Endpoint、SentinelOne、Cortex XDR | | IAM / PAM | Entra ID、Okta、CyberArk、BeyondTrust、HashiCorp Vault | | 漏洞管理 | Tenable、Qualys、Rapid7 InsightVM、Wiz、Orca | | NDR / 流量分析 | Darktrace、Vectra AI、Zeek、Suricata、Corelight | | 威胁情报 | MISP、Recorded Future、OpenCTI、VirusTotal | | 邮件安全 | Proofpoint、Mimecast、Defender for Office 365、Abnormal Security | | 云安全 | AWS Security Hub + GuardDuty、Defender for Cloud、Prisma Cloud | 共 78 种工具覆盖 9 个类别。可以在设置时添加自定义工具。 ## 输出格式 每个生成的检查清单（`SIRT-[事件类型]-[日期].md`）包含： 1. **头部块** — 组织名称、事件类型、资产类型、严重级别、检测时间、时间戳、提示版本 2. **事件概述** — 该事件类型在受影响资产上下文中的含义 3. **MITRE ATT&CK 参考块** — 带有直接链接的相关技术 4. **程序化检查清单** — 6 个阶段，包含特定工具的查询块 5. **决策点** — 真正的调查分支处的 `⚠️ DECISION POINT` 标注 6. **升级标准** — L2/L3 升级的明确条件 ## 许可证 MIT © [mello-io](https://github.com/mello-io) *MITRE ATT&CK® 是 The MITRE Corporation 的注册商标。

标签：AI 安全, AMSI绕过, C2, Claude Skill, Cloudflare, CSV导出, FTP漏洞扫描, LLM 安全, MITRE ATT&CK, PB级数据处理, SOAR, T1059, T1078, T1548, 人机协同, 关键词 SEO, 威胁检测, 安全事件响应, 安全指南, 安全清单, 安全编排, 安全运维, 安全运营, 扫描框架, 技能包, 无 API 密钥, 漏洞响应, 程序化响应, 组织安全栈, 自动化响应, 自动化攻击, 防御加固