ldenis001/incident-response-lab
GitHub: ldenis001/incident-response-lab
Stars: 1 | Forks: 0
# 🚨 事件响应桌面演练模拟实验室
### CloudSync Solutions — 交互式 IR 计划与 3 个桌面演练场景
## 📋 概述
本项目是一个**完全交互的事件响应模拟**,面向 CloudSync Solutions 构建——与我在[第三方供应商风险评估实验室](https://github.com/ldenis001/third-party-vendor-risk-assessment-lab)中评估的同一虚构 SaaS HR 供应商。这次视角反转:不再将 CloudSync 视为供应商进行评估,而是**你站在其事件响应团队一线应对实时事件**。
模拟包含完整的**IR 计划**、三个**桌面演练场景**(含逐步演练)、**决策点**(附最佳实践反馈)、**真实日志证据**、**沟通模板**,以及完整的 **NIST CSF 2.0 / ISO 27035 / MITRE ATT&CK** 映射。
### 公司简介
| 项目 | 值 |
|------|----|
| **公司** | CloudSync Solutions |
| **产品** | SaaS HR 平台(多租户) |
| **基础设施** | AWS(us-east-1、us-west-2) |
| **处理数据** | 员工 PII、薪资、人力资源记录 |
| **客户** | 500+ 组织 |
| **合规性** | SOC 2 Type II、ISO 27001、HIPAA(BAA) |
## 🎯 你将学到的内容
本实验室通过动手模拟教授**完整的事件响应生命周期**:
- **IR 计划制定**——目的、范围、团队角色、严重性分类、升级矩阵、沟通协议
- **检测与分析**——阅读 SIEM 告警、相关联 IOCs、确定事件范围与严重性
- **遏制策略**——实时决策:隔离 vs 监控、脱机 vs 降级、法律介入
- **根除与恢复**——移除威胁持久化、恢复备份、分阶段重新连接
- **事件后复盘**——经验教训、控制改进、风险登记册更新、指标(MTTD、MTTR)
- **合规要求**——GDPR 72 小时通知、州级泄露通知、HIPAA 报告、客户沟通
- **MITRE ATT&CK 映射**——每个识别技术均映射至 ATT&CK 框架
## 🛡️ 三个桌面演练场景
### 场景 A:勒索软件攻击(BlackCat/ALPHV)
| 要素 | 说明 |
|------|------|
| **触发** | 周五 02:47 — Microsoft Sentinel 的 SOC 告警 |
| **影响** | 3 台文件服务器被加密,勒索赎金要求 250 万美元 BTC |
| **初始向量** | 漏洞利用的 VPN 凭据(无 MFA) |
| **数据风险** | 500+ 客户 HR 数据库、薪资记录 |
| **ATT&CK 技术** | T1566、T1078、T1486、T1070 |
| **关键决策** | 是否支付赎金?(含最佳实践分析的交互式决策) |
### 场景 B:钓鱼攻击 → 凭证窃取 → 数据泄露
| 要素 | 说明 |
|------|------|
| **触发** | 周二 09:15 — 财务员工的异常异地登录告警 |
| **影响** | 12,847 条员工记录外泄至外部云存储 |
| **初始向量** | 带有假 DocuSign 门户的鱼叉式钓鱼邮件 |
| **数据风险** | SSN、薪资数据、银行信息、福利登记信息 |
| **ATT&CK 技术** | T1566.001、T1114、T1567 |
| **关键决策** | 如何界定泄露范围?何时通知? |
### 场景 C:内部威胁——离职员工数据窃取
| 要素 | 说明 |
|------|------|
| **触发** | 周四 16:30 — DLP 告警:批量下载 + USB 写入 |
| **影响** | 完整客户数据库及合同条款外泄 |
| **行为人** | 拥有高权限的离职 IT 经理 |
| **数据风险** | 客户名单、合同金额、专有算法 |
| **ATT&CK 技术** | T1074、T1052、T1567 |
| **关键决策** | 法律封存 vs 立即解雇?是否向执法部门报案? |
## 🗺️ 框架映射
### NIST CSF 2.0
| 功能 | 涵盖类别 |
|------|----------|
| **检测(DE)** | DE.AE — 不利事件分析,DE.CM — 持续监控 |
| **响应(RS)** | RS.MA — 事件管理,RS.AN — 事件分析,RS.CO — 事件响应报告与沟通,RS.MI — 事件缓解 |
| **恢复(RC)** | RC.RP — 恢复计划执行,RC.CO — 恢复沟通 |
| **治理(GV)** | GV.RM — 风险管理策略 |
### ISO 27035(事件管理)
覆盖全部五个阶段:计划与准备 → 检测与报告 → 评估与决策 → 响应 → 经验总结
### MITRE ATT&CK
12+ 个技术映射,涵盖全部三个场景,包含战术、技术 ID 与描述。
## 📁 仓库结构
```
incident-response-lab/
├── ir-simulation.html # Interactive simulation dashboard (deploy via GitHub Pages)
├── README.md # This file
├── docs/
│ ├── IR-Plan.md # Standalone IR Plan document
│ ├── communication-templates/
│ │ ├── executive-briefing.md
│ │ ├── client-notification.md
│ │ └── regulatory-filing.md
│ └── post-incident/
│ ├── lessons-learned.md
│ └── control-improvements.md
└── evidence/
└── artifacts-log.md # Chain of custody and evidence tracking
```
## 🚀 快速开始
### 查看在线模拟
👉 [**启动 IR 模拟**](https://ldenis001.github.io/incident-response-lab/ir-simulation.html)
### 本地运行
```
git clone https://github.com/ldenis001/incident-response-lab.git
cd incident-response-lab
open ir-simulation.html
```
无需依赖。无后端。单个 HTML 文件即可使用,支持离线访问。
## 🔗 关联组合项目
本实验室属于一个关联的 GRC 组合项目,CloudSync Solutions 出现在多个项目中:
| 项目 | 角色 | 链接 |
|------|------|------|
| **第三方供应商风险评估实验室** | 评估 CloudSync 作为供应商 | [仓库](https://github.com/ldenis001/third-party-vendor-risk-assessment-lab) |
| **事件响应模拟**(本项) | 在 CloudSync 上响应事件 | 你在此 |
| **GRC 供应商风险仪表板** | 交互式风险评分工具 | [在线](https://ldenis001.github.io/third-party-vendor-risk-assessment-lab/dashboard/grc-dashboard.html) |
| **TPRM 自动化工具包** | Python 脚本用于 TPRM 生命周期 | [仓库](https://github.com/ldenis001/tprm-automation-toolkit) |
## ✍️ 作者
**Lazaro Denis** — GRC 分析师 | 网络安全专业人士
- 🌐 [个人主页](https://ldenis001.github.io/LazCyber/portfolio.html)
- 💼 [领英](https://www.linkedin.com/in/lazaro-denis-cybersecurity/)
- 🐙 [GitHub](https://github.com/ldenis001)
- 📧 ldenis001@gmail.com
## 📜 许可证
本项目开放源代码,仅用于教育目的。作为 GRC 组合项目的一部分,旨在展示事件响应计划制定与桌面演练 facilitation。
标签:AWS, CISA项目, Cloudflare, CSV导出, DNS 解析, DPI, HR平台, IP 地址批量处理, IR计划, ISO 27035, MITRE ATT&CK, NIST CSF 2.0, SaaS, 互动学习, 决策点, 合规, 后端开发, 员工隐私, 实时演示, 库, 应急响应, 支付薪资, 日志取证, 最佳实践反馈, 桌面演练, 模拟演练, 沟通模板, 漏洞修复, 第三方风险, 网络安全培训