HaraldHex/blue-team-incident-response-lab

## 蓝队应急响应实验室 本项目模拟了一次真实的网络安全事件，并演示了蓝队如何响应、调查和缓解威胁。 ## 项目概述 本实验室模拟了一起钓鱼攻击，该攻击导致用户终端上执行了可疑的命令。 本项目演练了以下流程： - 检测 - 分诊 - 调查 - 遏制 - 经验教训 ## 目标 - 模拟应急响应工作流 - 练习分诊与调查 - 记录响应操作 - 改进检测与防护 ## 场景 一名用户收到钓鱼邮件，打开附件后触发了可疑的 PowerShell 活动。 ## SOC / IR 相关性 本项目反映了真实的实战任务： - 告警分诊 - 事件调查 - 响应操作 - 报告 ## 结构 - incident → 完整报告 - timeline → 攻击时间线 - triage → 初步分析 - response → 遏制措施 - lessons_learned → 改进建议 - playbooks → 可复用规程 ## 关键洞察 应急响应注重的是速度、准确性以及结构化思维。

标签：AI合规, AMSI绕过, IPv6, OpenCanary, PowerShell, TGT, 事件处置, 威胁检测, 威胁缓解, 安全剧本, 安全实验室, 安全报告, 安全调查, 安全运营中心, 安全防护, 库, 应急响应, 搜索语句（dork）, 攻防演练, 数字取证, 经验教训, 网络安全, 网络映射, 自动化脚本, 警报分类, 隐私保护