aparnaa19/NIST-CSF-Incident-Response-Playbook

# NIST CSF 事件响应手册    ## 概述 针对三种常见安全事件的结构化事件响应手册，映射至 **NIST 网络安全框架 (CSF)**。本项目展示了对事件响应生命周期、安全运营工作流程以及实际 SOC 环境中使用的行业标准框架的理解。 ## 涵盖的事件 | 手册 | 严重性范围 | 涵盖的 NIST 功能 | |----------|---------------|----------------------| | [网络钓鱼攻击](playbook/playbook-phishing.md) | 低 → 高 | 识别、保护、检测、响应、恢复 | | [暴力破解攻击](playbook/playbook-brute-force.md) | 中等 → 严重 | 识别、检测、响应、恢复 | | [内部威胁](playbook/playbook-insider-threat.md) | 高 → 严重 | 识别、保护、检测、响应、恢复 | ## 仓库结构 ``` nist-csf-incident-response-playbook/ │ ├── README.md ├── playbook/ │ ├── severity-table.md │ ├── escalation-tree.md │ ├── playbook-phishing.md │ ├── playbook-brute-force.md │ └── playbook-insider-threat.md └── diagrams/ └── escalation-flowchart.png ``` ## NIST CSF 框架 — 快速参考 | 功能 | 用途 | |----------|---------| | **识别** | 理解范围和涉及的资产 | | **保护** | 实施限制影响的保障措施 | | **检测** | 识别安全事件的发生 | | **响应** | 对检测到的事件采取行动 | | **恢复** | 事件后恢复能力 | ## 严重性分类 | 级别 | SLA | 描述 | |-------|-----|-------------| | S4 — 低 | 72 小时 | 影响最小，可能是误报 | | S3 — 中等 | 24 小时 | 局限于单个用户/系统，未确认的违规 | | S2 — 高 | 4 小时 | 已确认的活动威胁，影响多个系统 | | S1 — 严重 | 1 小时 | 业务中断，数据外泄可能性高 | 完整表格 → [严重性表](playbook/severity-table.md) ## 技能展示 - 事件响应生命周期（检测 → 遏制 → 根除 → 恢复） - NIST CSF 功能映射 - 严重性分类与分诊 - 上级决策 - SOC 文档与流程设计 - 威胁场景分析（网络钓鱼、暴力破解、内部威胁） ## 参考 - [NIST 网络安全框架](https://www.nist.gov/cyberframework) - [CISA 事件响应手册](https://www.cisa.gov/sites/default/files/publications/Federal_Government_Cybersecurity_Incident_and_Vulnerability_Response_Playbooks_508C.pdf) - [NIST SP 800-61 Rev. 2 — 计算机安全事件处理指南](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final)

标签：AMSI绕过, CSV导出, NIST CSF, NIST网络安全框架, Playbook, PoC, 事件响应流程, 内部威胁, 威胁检测, 安全合规, 安全知识库, 安全运营, 库, 应急响应, 恢复流程, 扫描框架, 攻击响应, 暴力破解, 结构化流程, 网络代理, 防御加固