aliahmed-soc/incident-response-playbooks
GitHub: aliahmed-soc/incident-response-playbooks
面向医疗 IT 安全运营中心的事件响应手册集合,提供针对七类常见安全事件的标准化调查与处置流程,并集成 HIPAA 合规评估要求。
Stars: 0 | Forks: 0
# 事件响应手册 — SOC 分析师参考





## 概述
本仓库包含面向在医疗 IT 环境中工作的 SOC 分析师的实用事件响应手册。这些手册基于监控 Windows 和 Linux endpoint、Active Directory 活动、Wazuh SIEM 警报、防火墙流量以及可能影响 HIPAA 覆盖系统的安全事件的真实运营经验。
目标是针对中小型医疗网络中常见的事件(包括身份验证攻击、未经授权的访问、恶意软件活动、钓鱼、账户锁定、数据外泄和勒索软件)提供清晰、可重复的响应步骤。
这些手册是为类似于以下环境而编写的:
- Wazuh SIEM 监控 endpoint 和身份验证活动
- HealPath 医疗域:`healpath.local`
- 域控:`192.168.1.14`
- Wazuh 部署:在 Ubuntu 24.04 上使用 Docker Compose,包含大约 30 个 agent
- Active Directory 域服务,包括 `healpath.local`
- Windows 和 Linux endpoint 日志记录
- PfSense 防火墙监控与阻断
- 双 AdGuard DNS 解析器:`192.168.1.19` 和 `192.168.1.23`
- Splunk 搜索与关联
- Snort 网络入侵检测
- 基于 HIPAA 的事件记录和违规分析
## 手册
| 手册 | 描述 |
| --- | --- |
| [暴力破解攻击](playbooks/brute-force-attack.md) | 针对针对 Windows、Linux、VPN 或暴露服务的反复失败身份验证尝试的响应步骤。 |
| [未经授权的访问](playbooks/unauthorized-access.md) | 针对可疑的成功登录、异常的访问时间、特权登录或有效账户滥用的调查流程。 |
| [恶意软件检测](playbooks/malware-detection.md) | 针对可疑进程执行、文件完整性警报和 endpoint 恶意软件指标的分流、遏制和清理步骤。 |
| [钓鱼调查](playbooks/phishing-investigation.md) | 分析报告的钓鱼电子邮件、标头、URL、附件和受影响用户的工作流程。 |
| [账户锁定](playbooks/account-lockout.md) | 针对 Active Directory 账户锁定的根本原因分析,包括用户失误、过期凭证和密码猜测。 |
| [数据外泄](playbooks/data-exfiltration.md) | 针对异常出站流量、大量传输和潜在 HIPAA 数据暴露的检测和响应步骤。 |
| [勒索软件响应](playbooks/ransomware-response.md) | 针对批量文件更改、加密活动、隔离、备份验证和 HIPAA 违规评估的关键响应程序。 |
## 如何使用这些手册
在警报分流、积极的事件响应、桌面演练和事件后流程改进期间使用这些手册。
1. 从与警报类型或用户报告相匹配的手册开始。
2. 查看 `Detection` 部分,以确认警报来源和相关的日志证据。
3. 使用 `Triage` 部分来确定该事件是误报、策略问题、用户失误还是真实的事件。
4. 当账户、endpoint、受保护的健康信息或业务运营面临实际风险时,请遵循 `Containment`(遏制)步骤。
5. 使用 `Investigation` 命令和日志源来重建时间线。
6. 仅在了解威胁路径后,才完成 `Eradication`(根除)和 `Recovery`(恢复)。
7. 将发现、证据、业务影响和 HIPAA 注意事项记录在事件报告模板中。
这些手册旨在支持分析师的决策制定。它们不能替代组织策略、法律审查、隐私官员审查或 HIPAA 违规通知程序。
## 引用的工具
- **Wazuh**:Endpoint 监控、文件完整性监控、身份验证警报、Windows 事件日志收集、Linux 日志收集和主动响应。
- **Splunk**:使用 SPL 进行搜索、关联、仪表板、时间线重建和警报验证。
- **Active Directory**:用户身份验证、账户锁定分析、特权账户审查和域控日志调查。
- **Windows Event Viewer**:针对登录活动、失败的身份验证、进程创建、特权使用和账户锁定的安全事件审查。
- **Linux 系统日志**:使用 `/var/log/auth.log`、`/var/log/secure` 和 `journalctl` 审查身份验证和 SSH 活动。
- **PfSense**:防火墙日志审查、源阻断、目标阻断和出站流量分析。
- **Snort**:网络入侵检测和可疑流量警报。
- **Wireshark**:用于可疑网络会话、协议审查和数据传输验证的数据包分析。
## HIPAA 背景
医疗事件响应需要的不仅仅是技术上的遏制。分析师还必须考虑事件是否影响了电子受保护的健康信息 (ePHI)、患者护理系统、临床运营或受监管的审计证据。
对于涉及未经授权的访问、恶意软件、数据外泄、勒索软件、凭证丢失或怀疑泄露 ePHI 的事件,响应人员应记录:
- 涉及的系统和用户账户
- ePHI 是否被访问、查看、修改、加密或外泄
- 检测、遏制、根除和恢复的时间线
- 为合规审查保留的日志和证据
- 受影响的用户、部门、患者或系统
- 是否通知了隐私官、安全官、法律顾问或领导层
- 是否需要进行 HIPAA 违规通知分析
HIPAA 违规通知规则通常要求受覆盖实体评估不安全 PHI 的违规使用或披露,并确定通知义务。最终的违规判定应由适当的隐私、合规和利益相关者做出。
## 展示的技能
- SOC 警报分流和事件响应
- Wazuh SIEM 监控和基于规则的检测
- Splunk SPL 调查与关联
- Active Directory 安全事件分析
- Windows 事件 ID 调查
- Linux 身份验证日志分析
- 恶意软件和勒索软件响应
- 钓鱼分析和 IOC 处理
- 使用 PfSense 进行基于防火墙的遏制
- 使用 Snort 和 Wireshark 审查网络流量
- MITRE ATT&CK 映射
- 基于 HIPAA 意识的安全文档记录
- 事件后报告和经验教训
## 仓库结构
```
incident-response-playbooks/
├── README.md
├── playbooks/
│ ├── brute-force-attack.md
│ ├── unauthorized-access.md
│ ├── malware-detection.md
│ ├── phishing-investigation.md
│ ├── account-lockout.md
│ ├── data-exfiltration.md
│ └── ransomware-response.md
├── templates/
│ ├── playbook-template.md
│ └── incident-report-template.md
├── references/
│ ├── mitre-attack-mapping.md
│ ├── tools-reference.md
│ └── hipaa-incident-requirements.md
└── .gitignore
```
## 作者
**Ali Ahmed**
IT 专家 | 专注 SOC 分析师 | 医疗安全
本仓库反映了支持医疗 IT 运营、监控大约 30 个 endpoint 上的 Wazuh SIEM 警报、审查 Active Directory 活动以及在受 HIPAA 监管的环境中响应安全事件的实践经验。
标签:Terraform 安全, 医疗信息安全, 安全剧本, 安全运营, 库, 应急响应, 扫描框架, 版权保护