🛡️ 内部违规响应与事件处理

蓝队 — 真实企业内部威胁模拟

金融机构 SOC + DFIR 调查项目

## 📋 目录

### 📖 调查报告 - [执行摘要与公司背景](#-section-1-executive-summary) - [威胁态势与攻击者画像](#-section-2-threat-landscape) - [攻击场景与时间线](#-section-3-attack-scenario) - [MITRE ATT&CK 映射](#-section-4-mitre-attck-mapping) - [检测阶段 (SIEM)](#-section-5-detection-phase) - [日志分析与 IOCs](#-section-6-log-analysis--iocs)

### 🔧 响应与修复 - [SOC 调查工作流](#-section-7-soc-investigation) - [遏制与取证](#-section-8-containment--forensics) - [恢复与经验教训](#-section-9-recovery--lessons-learned) - [建议 (ZT, PAM, DLP)](#-section-10-recommendations) - [最终报告与董事会汇报](#-section-11-final-report)

## 🎯 场景概述

### 🔴 事件一览 | 指标 | 详情 | |:-------|:-------| | **事件编号** | `INC-2026-0314-INSIDER` | | **行动名称** | 暗影账本 | | **威胁类型** | 恶意内部人员 (特权用户) | | **攻击持续时间** | 17 天 | | **受损记录数** | 240 万 | | **泄露的数据量** | ~12 GB (共暂存 18.7 GB) | | **财务影响** | $4.2M – $8.6M | | **检测时间** | 47 分钟完成遏制 |

### ⚔️ 使用的攻击向量 ``` 📧 Email (ProtonMail) ██████░░░░ 22 MB 💾 USB Drive (SanDisk 64GB) ████████░░ 1.4 GB ☁️ Google Drive ██████████ 4.7 GB 🧅 Mega.nz via Tor ████████░░ 4.1 GB 🚫 Blocked (Tor exit node) ██████████ 2.8 GB ────────── Total: ~12 GB exfiltrated ~6.7 GB prevented ```

## 🛡️ 第 1 部分：执行摘要 📄 **完整文档：** [`01_Executive_Summary.md`](./01_Executive_Summary.md) **Apex Financial Services, Inc.** 的 SOC 检测到来自属于高级系统管理员的特权账户的异常数据访问模式。调查揭示了一场持续 17 天的蓄意内部威胁活动。

🏢 公司简介 — Apex Financial Services

| 属性 | 详情 | |-----------|--------| | 行业 | 金融服务 – 财富管理 | | 员工数 | ~2,800 | | 营收 | $340M (FY2025) | | 客户数 | ~120 万活跃账户 | | 合规性 | PCI-DSS v4.0, SOX, GLBA, GDPR, ISO 27001 | **安全栈：** Wazuh SIEM, Splunk ES, CrowdStrike Falcon EDR, Palo Alto NGFW, Zscaler Proxy, Symantec DLP, CyberArk PAM

📊 IR 框架 — NIST SP 800-61r2

``` ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ 1.Preparation│───►│ 2.Detection │───►│3.Containment │───►│4.Post-Incident│ │ │ │ & Analysis │ │ Eradication │ │ Activity │ │ ✅ Baseline │ │ ✅ 47 min │ │ & Recovery │ │ │ │ established │ │ detection │ │ ✅ Complete │ │ 📄 This Doc │ └──────────────┘ └──────────────┘ └──────────────┘ └──────────────┘ ```

## 🕵️ 第 2 部分：威胁态势 📄 **完整文档：** [`02_Threat_Landscape.md`](./02_Threat_Landscape.md)

👤 威胁行为者画像 — Marcus Chen

``` ╔══════════════════════════════════════════════════════════════╗ ║ Name: Marcus D. Chen ║ ║ Position: Senior Systems Administrator ║ ║ Tenure: 6 years, 9 months ║ ║ Clearance: Level 4 – Domain Admin ║ ║ Motivation: Denied promotion → Retribution + Financial ║ ║ Resignation: Submitted March 12, 2026 ║ ╚══════════════════════════════════════════════════════════════╝ ```

### 行为指标时间线 ``` Nov 2025 ──🟡── Passed over for promotion Dec 2025 ──🟡── Complaints about management Jan 2026 ──🟡── Social withdrawal Feb 10 ──🟠── LinkedIn "Open to Work" Feb 18 ──🟠── Accessed salary database Feb 24 ──🟠── Searched DLP policies Mar 12 ──🔴── Resignation submitted Mar 14 ──⛔── DETECTED & CONTAINED ``` ### 财务与合规影响 | 类别 | 预估成本 | |----------|---------------| | IR 与取证 | $180,000 | | 法律与通知 | $450,000 | | 监管罚款 (PCI+GDPR) | $700K – $3.5M | | 信用监控 | $720,000 | | 客户流失 | $1.2M – $3.0M | | **总计** | **$4.2M – $8.6M** | ## ⚔️ 第 3 部分：攻击场景 📄 **完整文档：** [`03_Attack_Scenario.md`](./03_Attack_Scenario.md) ### 攻击阶段 ``` flowchart LR A["🔍 Phase 1\nReconnaissance\n8 days"] --> B["📦 Phase 2\nCollection\n11 days"] B --> C["📤 Phase 3\nExfiltration\n13 days"] C --> D["🧹 Phase 4\nAnti-Forensics\nOngoing"] style A fill:#4a90d9,color:#fff style B fill:#f5a623,color:#fff style C fill:#d0021b,color:#fff style D fill:#333,color:#fff ```

📅 完整攻击时间线 (40+ 事件)

| 日期 | 操作 | 证据 | |------|--------|----------| | 2 月 18 日 | AD 枚举，schema 映射 | Windows Event 4662 | | 2 月 21 日 | 测试 DLP 阈值 (50MB 上传) | 代理日志 | | 2 月 25 日 | 安装便携版 Tor 浏览器 | EDR 遥测 | | 2 月 26 日 |

标签：Cloudflare, CrowdStrike, CyberArk, EDR, GDPR, HTTP/HTTPS抓包, HTTP工具, ISO 27001, MITRE ATT&CK, NGFW, NIST, Palo Alto, PAM, PCI-DSS, Wazuh, 事件处置, 企业安全, 内部威胁, 安全合规, 安全模拟, 安全溯源, 安全演练, 安全调查, 安全运营中心, 库, 应急响应, 态势感知, 数字取证与应急响应, 网络代理, 网络安全, 网络安全审计, 网络映射, 网络资产管理, 脆弱性评估, 金融安全, 隐私保护