MMA19801712/Incident-Response-Playbook

# 🚨 网络安全事件响应手册 ## 📋 概述 本仓库包含一份综合的**事件响应手册**，符合 **NIST SP 800-61 Rev. 2**（计算机安全事件处理指南）标准。该手册为检测、分析、遏制、根除和恢复网络安全事件提供了结构化的操作流程。 **本手册涵盖：** - 钓鱼攻击与企业电子邮件攻破 (BEC) - 勒索软件攻击 - 内部威胁事件 - DDoS 攻击 - 数据泄露响应 - 恶意软件感染响应 ## 🔄 NIST SP 800-61 事件响应生命周期 ``` ┌─────────────────────────────────────────────────────────────┐ │ INCIDENT RESPONSE LIFECYCLE │ │ │ │ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ │ │ PREPARATION │───▶│ DETECTION & │───▶│CONTAINMENT, │ │ │ │ │ │ ANALYSIS │ │ERADICATION & │ │ │ │• IR Plan │ │ │ │ RECOVERY │ │ │ │• Team roles │ │• SIEM alerts │ │ │ │ │ │• Tools ready │ │• Triage │ │• Isolate │ │ │ │• Training │ │• Scope │ │• Remove │ │ │ └──────────────┘ └──────────────┘ │• Restore │ │ │ ▲ └──────┬───────┘ │ │ │ │ │ │ │ ┌──────────────┐ │ │ │ └───────────│ POST-INCIDENT│◀──────────┘ │ │ │ ACTIVITY │ │ │ │ │ │ │ │• Lessons │ │ │ │• Report │ │ │ │• Improvement │ │ │ └──────────────┘ │ └─────────────────────────────────────────────────────────────┘ ``` ## 📱 事件严重程度分类 | 严重程度 | 响应时间 | 描述 | 示例 | |:---:|:---:|:---|:---| | 🔴 **严重 (P1)** | 立即 (< 15 分钟) | 正在发生的攻击，数据外泄 | 勒索软件, APT, 数据泄露 | | 🟠 **高 (P2)** | < 1 小时 | 重大威胁，业务影响 | 恶意软件感染, BEC | | 🟡 **中 (P3)** | < 4 小时 | 影响有限，可疑活动 | 钓鱼攻击尝试, 端口扫描 | | 🟢 **低 (P4)** | < 24 小时 | 违反策略，轻微问题 | 违规行为, 垃圾邮件 | ## 🔴 手册 1: 勒索软件响应 ### 阶段 1: 检测与初步分诊 (0-15 分钟) **检测来源：** - SIEM 告警：勒索软件文件扩展名创建 - EDR 告警：大规模文件加密活动 - 用户报告：文件被加密，可见勒索信 - 备份系统告警：检测到卷影副本删除 **立即采取的行动：** ``` □ 1. Verify alert authenticity — confirm true positive □ 2. Create incident ticket — assign P1/CRITICAL severity □ 3. Notify Incident Response Team (IRT) □ 4. Begin documentation — timestamps, evidence □ 5. Identify affected system hostname/IP □ 6. Check if system is domain-joined □ 7. Identify logged-in user account ``` ### 阶段 2: 遏制 (15-30 分钟) ``` □ 1. NETWORK ISOLATION — Disconnect from network (NOT power off) - Physical: Unplug network cable - Virtual: Disable NIC in hypervisor - Wireless: Block MAC address on wireless controller □ 2. Identify patient zero (first infected system) □ 3. Check for lateral movement indicators □ 4. Block IOCs at perimeter firewall □ 5. Disable compromised user accounts □ 6. Preserve volatile evidence (memory dump) □ 7. Preserve disk image for forensics □ 8. Review SIEM for scope (how many systems affected?) ``` ### 阶段 3: 证据收集 **证据清单：** - 内存转储 (RAM) — 关机前捕获 - 磁盘映像 — 使用写保护设备进行取证拷贝 - SIEM 日志 — 事件发生前至少 72 小时的记录 - 网络流量数据 — 防火墙/路由器日志 - EDR 遥测数据 — 进程树，文件操作 - 电子邮件日志 — 初始向量识别 - Active Directory 日志 — 账户变更 **证据保管链表：** | 字段 | 值 | |:---|:---| | 案件编号 | INC-2026-001 | | 证据项目 | 硬盘 - WD 1TB | | 收集人 | Deborah Chukwuezi | | 收集日期/时间 | 2026-04-28 09:15 CST | | MD5 哈希值 | a1b2c3d4e5f6... | | SHA256 哈希值 | 1234567890abcdef... | | 存储位置 | 证据柜 #3 | ### 阶段 4: 根除 ``` □ 1. Identify ransomware variant (Ransom.WannaCry, LockBit, etc.) □ 2. Identify entry point / initial attack vector □ 3. Remove all malware artifacts (processes, files, registry) □ 4. Close exploited vulnerability / patch system □ 5. Reset all affected user credentials □ 6. Review and update firewall rules □ 7. Perform clean build on all affected systems (DO NOT restore infected images) □ 8. Verify no persistence mechanisms remain ``` ### 阶段 5: 恢复 ``` □ 1. Restore from VERIFIED clean backup (pre-infection) □ 2. Verify backup integrity before restoration □ 3. Apply all patches before reconnecting to network □ 4. Deploy EDR/AV agent and update signatures □ 5. Enable enhanced monitoring on recovered systems □ 6. Gradually reconnect — test in isolated VLAN first □ 7. User acceptance testing — confirm system functionality □ 8. Remove from isolation — return to production ``` ## 🟠 手册 2: 钓鱼与 BEC 响应 ### 检测指标 - 用户报告可疑电子邮件 - 电子邮件网关告警：SPF/DKIM/DMARC 验证失败 - SIEM 告警：不可能的登录地点 / 异常登录位置 - 告警：创建了大规模电子邮件转发规则 ### 响应步骤 **阶段 1: 电子邮件分析** ``` □ 1. Obtain email headers for analysis □ 2. Check authentication results (SPF, DKIM, DMARC) □ 3. Analyze originating IP — check threat intelligence □ 4. Extract and analyze URLs (sandbox test) □ 5. Check attachments — upload to VirusTotal/Any.run □ 6. Determine scope — how many employees received it? ``` **阶段 2: 遏制** ``` □ 1. Remove phishing email from all mailboxes □ 2. Block malicious sender domain in email gateway □ 3. Block malicious URLs in web proxy □ 4. If credentials compromised: □ a. Reset user password immediately □ b. Revoke all active sessions (OIDC/OAuth tokens) □ c. Enable MFA if not already active □ d. Review mailbox rules for forwarding rules □ e. Review Inbox for sensitive data exfiltration □ 5. Notify affected users and management ``` **钓鱼电子邮件分析模板：** ``` PHISHING ANALYSIS REPORT ======================== Date Received: 2026-04-28 Subject: [URGENT] Your account will be suspended From Display: "IT Help Desk" Actual From: it-support@companyname-help.ru SPF Result: FAIL (spoofed domain) DKIM Result: NONE (unsigned) DMARC Result: FAIL → policy: quarantine Originating IP: 185.220.101.45 IP Reputation: MALICIOUS (Tor exit node) GeoIP: Russia URLs Found: - https://company-account-verify.xyz/login → credential harvester - Status: MALICIOUS (VirusTotal: 45/72 detectors) Verdict: CONFIRMED PHISHING ATTACK Action: Remove, block domain, notify users ``` ## 🟡 手册 3: 数据泄露响应 ### 通知要求矩阵 | 法规 | 通知截止时间 | 通知对象 | |:---:|:---:|:---| | GDPR | 72 小时 | 数据保护机构 (DPA) | | HIPAA | 60 天 | HHS，受影响的个人 | | PCI-DSS | 立即 | 信用卡品牌，收单银行 | | 州法律 | 30-72 小时 (不等) | 州总检察长，受影响的个人 | | CCPA | 尽快 | 受影响的加州居民 | ### 数据泄露响应步骤 ``` Hour 0-1: Alert received, severity assessed → P1/Critical Hour 1-4: Containment — system isolated, access revoked Hour 4-8: Scope determination — what data was accessed? Hour 8-24: Evidence collection, forensic investigation begins Hour 24-48: Legal team notified, privacy officer engaged Hour 48-72: Regulatory notification prepared and submitted Day 4-7: Affected individual notification drafted Day 7-14: Eradication and recovery completed Day 14-30: Post-incident report, lessons learned ``` ## 📊 事件响应指标与 KPI | 指标 | 目标 | 定义 | |:---|:---:|:---| | 平均检测时间 (MTTD) | < 24 小时 | 从事件发生到被检测的时间 | | 平均响应时间 (MTTR) | < 4 小时 | 从检测到被遏制的时间 | | 平均恢复时间 (MTTRec) | < 24 小时 | 从遏制到恢复的时间 | | 误报率 | < 10% | 误报与真阳性报告的比率 | | 升级事件数 | < 20% | 需要高级别升级的事件 | | 事后报告 | 100% | 已完成 PIR 的事件百分比 | ## 📋 桌面推演场景 ### 演练 1: 勒索软件攻击 **场景：** 星期一早上，员工无法访问文件。SIEM 显示 File-Server-01 上存在大规模加密活动和卷影副本删除。勒索信要求支付 50 BTC。 **讨论问题：** 1. 您的首要行动是什么？您要联系谁？ 2. 您如何确定影响范围？ 3. 您是否应该与攻击者谈判？为什么？ 4. 您何时以及如何通知领导层和法务部门？ 5. 需要进行哪些法规提报？ ### 演练 2: 内部威胁 **场景：** DLP 告警显示一名员工将 50GB 专有数据下载到了 USB 驱动器。该员工上周已提交辞职信。 **讨论问题：** 1. 您如何在不惊动嫌疑人的情况下保留证据？ 2. 应在何时撤销哪些访问权限？ 3. HR、法务和安全部门如何协调响应？ 4. 潜在的法律诉讼需要哪些取证证据？ ## 🗂️ 仓库结构 ``` Incident-Response-Playbook/ ├── README.md # This overview ├── playbooks/ │ ├── Ransomware-Response.md │ ├── Phishing-BEC-Response.md │ ├── Data-Breach-Response.md │ ├── DDoS-Response.md │ ├── Insider-Threat-Response.md │ └── Malware-Infection-Response.md ├── templates/ │ ├── Incident-Report-Template.md │ ├── Chain-of-Custody-Form.md │ ├── Post-Incident-Report.md │ └── Stakeholder-Communication.md ├── tabletop-exercises/ │ ├── Ransomware-TTX.md │ ├── Insider-Threat-TTX.md │ └── Supply-Chain-TTX.md └── tools/ ├── IOC-Collection-Checklist.md └── SIEM-Alert-Triage-Guide.md ```

**Deborah Chidimma Chukwuezi** | SOC 分析师 | IR 专家 [](https://github.com/MMA19801712) [](mailto:debchukwuezi@gmail.com)

标签：BEC, CISA项目, DDoS攻击, DNS 反向解析, DNS 解析, IP 地址批量处理, IR Playbook, IT安全, IT运维, meg, NIST SP 800-61, Object Callbacks, Socks5代理, SOC分析师, Tabletop Exercises, 事件检测, 事件遏制与恢复, 信息安全, 内部威胁, 勒索软件, 商业电子邮件妥协, 子域名变形, 子域枚举, 安全事件分析, 安全信息与事件管理, 安全合规, 安全最佳实践, 安全运营中心, 库, 应急响应, 应急响应生命周期, 恶意软件, 搜索引擎爬取, 搜索语句（dork）, 文档安全, 无线安全, 桌面演练, 网络代理, 网络安全, 网络安全审计, 网络映射, 网络钓鱼, 配置错误, 防御加固, 隐私保护