aliahmed-soc/incident-response-playbooks

GitHub: aliahmed-soc/incident-response-playbooks

面向医疗 IT 安全运营中心的事件响应手册集合,提供针对七类常见安全事件的标准化调查与处置流程,并集成 HIPAA 合规评估要求。

Stars: 0 | Forks: 0

# 事件响应手册 — SOC 分析师参考 ![SOC](https://img.shields.io/badge/SOC-Analyst-blue) ![SIEM](https://img.shields.io/badge/SIEM-Monitoring-green) ![HIPAA](https://img.shields.io/badge/HIPAA-Healthcare%20Security-red) ![Wazuh](https://img.shields.io/badge/Wazuh-Detection-orange) ![Splunk](https://img.shields.io/badge/Splunk-Search%20%26%20Investigation-black) ## 概述 本仓库包含面向在医疗 IT 环境中工作的 SOC 分析师的实用事件响应手册。这些手册基于监控 Windows 和 Linux endpoint、Active Directory 活动、Wazuh SIEM 警报、防火墙流量以及可能影响 HIPAA 覆盖系统的安全事件的真实运营经验。 目标是针对中小型医疗网络中常见的事件(包括身份验证攻击、未经授权的访问、恶意软件活动、钓鱼、账户锁定、数据外泄和勒索软件)提供清晰、可重复的响应步骤。 这些手册是为类似于以下环境而编写的: - Wazuh SIEM 监控 endpoint 和身份验证活动 - HealPath 医疗域:`healpath.local` - 域控:`192.168.1.14` - Wazuh 部署:在 Ubuntu 24.04 上使用 Docker Compose,包含大约 30 个 agent - Active Directory 域服务,包括 `healpath.local` - Windows 和 Linux endpoint 日志记录 - PfSense 防火墙监控与阻断 - 双 AdGuard DNS 解析器:`192.168.1.19` 和 `192.168.1.23` - Splunk 搜索与关联 - Snort 网络入侵检测 - 基于 HIPAA 的事件记录和违规分析 ## 手册 | 手册 | 描述 | | --- | --- | | [暴力破解攻击](playbooks/brute-force-attack.md) | 针对针对 Windows、Linux、VPN 或暴露服务的反复失败身份验证尝试的响应步骤。 | | [未经授权的访问](playbooks/unauthorized-access.md) | 针对可疑的成功登录、异常的访问时间、特权登录或有效账户滥用的调查流程。 | | [恶意软件检测](playbooks/malware-detection.md) | 针对可疑进程执行、文件完整性警报和 endpoint 恶意软件指标的分流、遏制和清理步骤。 | | [钓鱼调查](playbooks/phishing-investigation.md) | 分析报告的钓鱼电子邮件、标头、URL、附件和受影响用户的工作流程。 | | [账户锁定](playbooks/account-lockout.md) | 针对 Active Directory 账户锁定的根本原因分析,包括用户失误、过期凭证和密码猜测。 | | [数据外泄](playbooks/data-exfiltration.md) | 针对异常出站流量、大量传输和潜在 HIPAA 数据暴露的检测和响应步骤。 | | [勒索软件响应](playbooks/ransomware-response.md) | 针对批量文件更改、加密活动、隔离、备份验证和 HIPAA 违规评估的关键响应程序。 | ## 如何使用这些手册 在警报分流、积极的事件响应、桌面演练和事件后流程改进期间使用这些手册。 1. 从与警报类型或用户报告相匹配的手册开始。 2. 查看 `Detection` 部分,以确认警报来源和相关的日志证据。 3. 使用 `Triage` 部分来确定该事件是误报、策略问题、用户失误还是真实的事件。 4. 当账户、endpoint、受保护的健康信息或业务运营面临实际风险时,请遵循 `Containment`(遏制)步骤。 5. 使用 `Investigation` 命令和日志源来重建时间线。 6. 仅在了解威胁路径后,才完成 `Eradication`(根除)和 `Recovery`(恢复)。 7. 将发现、证据、业务影响和 HIPAA 注意事项记录在事件报告模板中。 这些手册旨在支持分析师的决策制定。它们不能替代组织策略、法律审查、隐私官员审查或 HIPAA 违规通知程序。 ## 引用的工具 - **Wazuh**:Endpoint 监控、文件完整性监控、身份验证警报、Windows 事件日志收集、Linux 日志收集和主动响应。 - **Splunk**:使用 SPL 进行搜索、关联、仪表板、时间线重建和警报验证。 - **Active Directory**:用户身份验证、账户锁定分析、特权账户审查和域控日志调查。 - **Windows Event Viewer**:针对登录活动、失败的身份验证、进程创建、特权使用和账户锁定的安全事件审查。 - **Linux 系统日志**:使用 `/var/log/auth.log`、`/var/log/secure` 和 `journalctl` 审查身份验证和 SSH 活动。 - **PfSense**:防火墙日志审查、源阻断、目标阻断和出站流量分析。 - **Snort**:网络入侵检测和可疑流量警报。 - **Wireshark**:用于可疑网络会话、协议审查和数据传输验证的数据包分析。 ## HIPAA 背景 医疗事件响应需要的不仅仅是技术上的遏制。分析师还必须考虑事件是否影响了电子受保护的健康信息 (ePHI)、患者护理系统、临床运营或受监管的审计证据。 对于涉及未经授权的访问、恶意软件、数据外泄、勒索软件、凭证丢失或怀疑泄露 ePHI 的事件,响应人员应记录: - 涉及的系统和用户账户 - ePHI 是否被访问、查看、修改、加密或外泄 - 检测、遏制、根除和恢复的时间线 - 为合规审查保留的日志和证据 - 受影响的用户、部门、患者或系统 - 是否通知了隐私官、安全官、法律顾问或领导层 - 是否需要进行 HIPAA 违规通知分析 HIPAA 违规通知规则通常要求受覆盖实体评估不安全 PHI 的违规使用或披露,并确定通知义务。最终的违规判定应由适当的隐私、合规和利益相关者做出。 ## 展示的技能 - SOC 警报分流和事件响应 - Wazuh SIEM 监控和基于规则的检测 - Splunk SPL 调查与关联 - Active Directory 安全事件分析 - Windows 事件 ID 调查 - Linux 身份验证日志分析 - 恶意软件和勒索软件响应 - 钓鱼分析和 IOC 处理 - 使用 PfSense 进行基于防火墙的遏制 - 使用 Snort 和 Wireshark 审查网络流量 - MITRE ATT&CK 映射 - 基于 HIPAA 意识的安全文档记录 - 事件后报告和经验教训 ## 仓库结构 ``` incident-response-playbooks/ ├── README.md ├── playbooks/ │ ├── brute-force-attack.md │ ├── unauthorized-access.md │ ├── malware-detection.md │ ├── phishing-investigation.md │ ├── account-lockout.md │ ├── data-exfiltration.md │ └── ransomware-response.md ├── templates/ │ ├── playbook-template.md │ └── incident-report-template.md ├── references/ │ ├── mitre-attack-mapping.md │ ├── tools-reference.md │ └── hipaa-incident-requirements.md └── .gitignore ``` ## 作者 **Ali Ahmed** IT 专家 | 专注 SOC 分析师 | 医疗安全 本仓库反映了支持医疗 IT 运营、监控大约 30 个 endpoint 上的 Wazuh SIEM 警报、审查 Active Directory 活动以及在受 HIPAA 监管的环境中响应安全事件的实践经验。
标签:Terraform 安全, 医疗信息安全, 安全剧本, 安全运营, 库, 应急响应, 扫描框架, 版权保护