MisterLemus/CyberOps-Incident-Response

# 🛡️ CyberOps 事件响应剧本 [](https://www.cisco.com/) [](https://attack.mitre.org/) [](https://csrc.nist.gov/) ## 🎓 认证 **CyberOps 助理** — Cisco Networking Academy ## 📂 结构 ``` 12-CyberOps-Incident-Response/ ├── playbooks/ │ ├── 01-phishing-response.md │ ├── 02-malware-infection.md │ ├── 03-ransomware-response.md │ ├── 04-data-breach.md │ ├── 05-ddos-mitigation.md │ ├── 06-insider-threat.md │ └── 07-brute-force-detection.md ├── scripts/ │ ├── ioc-extractor.py │ ├── log-parser.py │ ├── hash-checker.py │ └── pcap-analyzer.py ├── evidence-templates/ │ ├── chain-of-custody.md │ ├── incident-report-template.md │ └── timeline-template.md └── docs/ ├── nist-ir-lifecycle.md ├── mitre-attack-mapping.md └── soc-analyst-runbook.md ``` ## 🔄 NIST 事件响应生命周期 ``` ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ PREPARATION │───→│ DETECTION & │───→│ CONTAINMENT │───→│ POST- │ │ │ │ ANALYSIS │ │ ERADICATION │ │ INCIDENT │ │ • Policies │ │ • SIEM alerts│ │ • Isolate │ │ • Lessons │ │ • Tools │ │ • IOC match │ │ • Remove │ │ • Report │ │ • Training │ │ • Triage │ │ • Recover │ │ • Improve │ └──────────────┘ └──────────────┘ └──────────────┘ └──────────────┘ ``` ## 🎯 MITRE ATT&CK 覆盖范围 | 战术 | 覆盖技术 | |------|----------| | 初始访问 | 钓鱼 (T1566)，有效账户 (T1078) | | 执行 | PowerShell (T1059.001)，用户执行 (T1204) | | 持久化 | 注册表运行键 (T1547)，计划任务 (T1053) | | 防御规避 | 混淆 (T1027)，禁用防病毒 (T1562) | | 凭证访问 | 暴力破解 (T1110)，凭证转储 (T1003) | | 横向移动 | RDP (T1021.001)，SMB (T1021.002) | | 渗出 | HTTP (T1048)，DNS 隧道 (T1048.003) | | 影响 | 勒索软件 (T1486)，DDoS (T1498) | ## 📝 作者 **José Lemus ** | CyberOps 助理 (Cisco)

标签：Cisco CyberOps, Cisco CyberOps Associate, Cloudflare, DAST, DDoS缓解, FTP漏洞扫描, Incident Response, IOC, IOC提取器, Lemus, MITRE, MITRE ATT&CK, NIST, NIST SP 800-61, PCAP分析, Playbook, 事件报告模板, 免杀技术, 内部威胁, 剧本, 勒索软件响应, 取证, 取证模板, 哈希校验, 安全编排, 库, 应急响应, 恶意软件分析, 指标妥协, 数据泄露响应, 日志解析, 时间线模板, 暴力破解检测, 网络安全, 证书伪造, 证据链模板, 运营, 逆向工具, 钓鱼响应, 防御加固, 隐私保护