PR-cybersec/EDR-Investigation-Playbooks

# EDR 调查剧本 本仓库展示了基于实际 SOC 经验的真实端点检测与响应 (EDR) 调查场景。 ## 核心关注领域 - 进程树分析 - 命令行调查 - 威胁验证（真阳性 vs 假阳性） - MITRE ATT&CK 映射 - 端点 + 网络关联 ## 使用的工具 - CrowdStrike Falcon - Cybereason - SIEM - Palo Alto 防火墙 - DLP 和代理日志 ## 包含的场景 - 可疑的 PowerShell 执行 - 异常的进程树行为 - 数据外发调查 - 可疑的登录活动 ## 目标 展示针对 EDR 和威胁狩猎角色的实用威胁调查技能和分析思维。

标签：ATT&CK框架, Cloudflare, CrowdStrike Falcon, Cybereason, DLP, DNS 解析, EDR, Incident Response, IPv6, MITRE ATT&CK, OpenCanary, Palo Alto, PowerShell, Threat Hunting, 代理日志, 告警研判, 命令行分析, 威胁调查, 子域枚举, 安全剧本, 安全运营中心, 真实案例, 端点检测与响应, 网络安全, 网络映射, 网络流量关联, 脆弱性评估, 脱壳工具, 进程树分析, 隐私保护