iamahmedsalam/incident-response-playbooks

# 🔰 事件响应剧本 + 实时演练 **面向 SOC L1 的专业事件响应剧本，基于实际环境验证 — 5 个攻击场景模拟、调查与记录，使用生产级 Wazuh SIEM 实验室。** ## 本项目证明的内容 仅触发检测规则只是工作的一半。后续的事件分级、调查、 containment（遏制）与文档记录，才是区分 SOC 分析师与仪表盘观察者的关键。 本项目包含 5 个可复用的事件响应剧本以及对应的 5 份实时演练报告，每一份剧本均在真实攻击中于家庭实验室执行完成。每次演练均使用真实的 Wazuh 告警、真实的取证证据以及真实的 containment（遏制）操作。 ## 剧本 标准化的响应流程 — 分析师在特定告警触发时遵循的 runbook（运行手册）。 | 剧本 | MITRE 技术 | 告警规则 | 平台 | |---|---|---|---| | [PB-001 — PowerShell 编码命令](playbooks/PB-001-powershell-execution.md) | T1059.001 | 100001（Level 10） | Windows | | [PB-002 — SSH 暴力破解](playbooks/PB-002-ssh-brute-force.md) | T1110.001 | 100011（Level 12） | Linux | | [PB-003 — 注册表 Run Key 持久化](playbooks/PB-003-registry-persistence.md) | T1547.001 | 100004（Level 10） | Windows | | [PB-004 — Windows 事件日志被清除](playbooks/PB-004-event-log-cleared.md) | T1070.001 | 100006（Level 14） | Windows | | [PB-005 — 临时文件夹中的恶意软件投放器](playbooks/PB-005-malware-dropper-temp.md) | T1105 | 100008（Level 10） | Windows | 每个剧本包含：告警概述、分级检查清单（决策树）、调查流程（精确命令与查询）、containment（遏制）与响应、证据收集，以及事后改进建议。 ## 实时演练 在实验室中执行的真实攻击模拟，按照上述剧本进行调查，并使用实际的 Wazuh 告警数据进行记录。 | 演练 | 攻击方法 | 检测 | 结果 | |---|---|---|---| | [Drill 001 — PowerShell](live-drills/drill-001-powershell.md) | 使用 Base64 载荷的 `-EncodedCommand` | ✅ 规则 100001 | 解码载荷，攻击链关联（100001 + 100008） | | [Drill 002 — SSH 暴力破解](live-drills/drill-002-ssh-bruteforce.md) | 来自 Kali 的 Hydra（15 次尝试，4 线程） | ✅ 规则 100011 | 未成功登录，完成完整妥协评估 | | [Drill 003 — 注册表持久化](live-drills/drill-003-registry-persistence.md) | 使用 `reg.exe` 添加 Run 键（LOLBIN） | ✅ 规则 100004 | 移除注册表项，完成持久性扫描 | | [Drill 004 — 日志清除](live-drills/drill-004-event-log-cleared.md) | 在多阶段攻击后执行 `wevtutil cl System` | ✅ 规则 100006 | 尽管本地日志被销毁，仍从 SIEM 恢复完整攻击时间线 | | [Drill 005 — 恶意软件投放器](live-drills/drill-005-malware-dropper.md) | 使用 `certutil -encode` 在 Temp 文件夹投放 `.exe`（LOLBIN） | ✅ 规则 100008 | 文件在执行前被捕获并隔离，保留哈希值 | ## 所有演练的关键发现 **检测性能：** - 平均检测时间（MTTD）跨全部 5 次演练：**< 3 秒** - 所有 5 次攻击均被自定义 Wazuh 规则检测到 - 在演练 001 与 004 中观察到多规则关联 **展示的调查技能：** - Base64 载荷解码与分析（演练 001） - 使用自动化工具特征检测识别暴力破解模式（演练 002） - 识别 living-off-the-land 二进制文件（LOLBIN） — `reg.exe` 与 `certutil.exe`（演练 003、005） - 在本地日志被销毁后，通过 SIEM 恢复集中式证据（演练 004） - 文件哈希提取、签名验证与证据保留隔离（演练 005） **执行的 containment（遏制）操作：** - 移除注册表持久化条目并验证（演练 003、004） - 删除后门用户账户（演练 004） - 将恶意文件隔离至证据文件夹（演练 005） - 对 Run 键、RunOnce、启动文件夹及计划任务进行全面持久性扫描（演练 003、004） ## MITRE ATT&CK 覆盖范围 | 战术 | 技术 | 剧本 | 演练 | |---|---|---|---| | 执行 | T1059.001 — PowerShell | PB-001 | Drill 001 | | 凭证访问 | T1110.001 — 暴力破解 | PB-002 | Drill 002 | | 持久化 | T1547.001 — 注册表 Run 键 | PB-003 | Drill 003 | | 防御规避 | T1070.001 — 清除事件日志 | PB-004 | Drill 004 | | 命令与控制 | T1105 — 入侵工具传输 | PB-005 | Drill 005 | 涵盖五种不同战术，两个平台（Windows 与 Linux），三种日志来源（Sysmon 事件 1/11/13、Windows 事件 104、auth.log）。 ## 仓库结构 ``` incident-response-playbooks/ ├── README.md ├── playbooks/ │ ├── PB-001-powershell-execution.md │ ├── PB-002-ssh-brute-force.md │ ├── PB-003-registry-persistence.md │ ├── PB-004-event-log-cleared.md │ └── PB-005-malware-dropper-temp.md ├── live-drills/ │ ├── drill-001-powershell.md │ ├── drill-002-ssh-bruteforce.md │ ├── drill-003-registry-persistence.md │ ├── drill-004-event-log-cleared.md │ └── drill-005-malware-dropper.md ├── detection-improvements/ │ └── rule-tuning-log.md ├── screenshots/ │ ├── drill-001/ │ ├── drill-002/ │ ├── drill-003/ │ ├── drill-004/ │ └── drill-005/ └── docs/ └── lessons-learned.md ``` ## 实验室环境 本项目使用 [Home SOC Lab v2.0](https://github.com/iamahmedsalam/home-soc-lab) 基础设施： | 虚拟机 | IP | 角色 | |---|---|---| | Wazuh Manager | 192.168.56.101 | SIEM（Wazuh 4.14.4 单体） | | Windows 11 | 192.168.56.103 | 被监控端点（Agent 001，Sysmon v15.15） | | Ubuntu 客户端 | 192.168.56.104 | 被监控端点（Agent 002，auditd） | | Kali Linux | 192.168.56.50 | 攻击机 | 使用的检测规则共 11 条（100001–100011），映射至 MITRE ATT&CK。完整规则集请参见 [home-soc-lab/detection-rules](https://github.com/iamahmedsalam/home-soc-lab/tree/main/detection-rules)。 ## 与项目 1 的关系 | | 项目 1 — Home SOC Lab v2.0 | 项目 2 — IR 剧本 + 实时演练 | |---|---|---| | **重点** | 构建检测环境 | 响应检测结果 | | **证明** | 你能检测到威胁吗？ | 你能调查并 containment 吗？ | | **交付物** | 检测规则、模拟结果、架构文档 | 剧本、演练报告、containment 流程 | | **仓库** | [home-soc-lab](https://github.com/iamahmedsalam/home-soc-lab) | 本仓库 | ## 关于 **Ahmed Salam** — 致力于 AI 增强的 SOC 分析师 - 🏆 TryHackMe 全球前 2%（132 个房间，30 个徽章） - 🎓 CompTIA Security+ 认证 - 📜 SOC L1 — TryHackMe（2026 年 4 月） - 🌐 个人主页：[iamahmedalam.com](https://iamahmedsalam.com) - 💼 LinkedIn：[Ahmed Salam](https://www.linkedin.com/in/ahmedsalamnyc) - 🐙 GitHub：[iamahmedsalam](https://github.com/iamahmedsalam) ## 许可证 MIT License — 详见 [LICENSE](LICENSE)。

标签：AMSI绕过, Containment, Home Lab, Incident Investigation, IPv6, L1, Live Drill, Log Clearing, Malware Dropper, OpenCanary, Playbook, PowerShell, Registry Persistence, Runbook, SSH Brute Force, T1059.001, T1070.001, T1105, T1110.001, T1547.001, Triage, Wazuh, 取证调查, 告警规则, 威胁检测, 实时演练, 库, 应急响应, 生产级SIEM, 网络信息收集, 防御加固