BpCyberSec/ransomware-ir-playbook
GitHub: BpCyberSec/ransomware-ir-playbook
基于 NIST SP 800-61r2 标准的勒索软件事件响应剧本,整合 Wazuh 检测规则、MITRE ATT&CK 技术映射和双平台 CLI 命令参考,以独立 HTML 文件提供从准备到复盘的完整六阶段响应指南。
Stars: 0 | Forks: 0
# 勒索软件事件响应剧本
一份完整、可作为作品集展示的勒索软件攻击事件响应剧本。基于 NIST SP 800-61r2 构建,包含 MITRE ATT&CK 技术映射和 Wazuh SIEM 检测规则参考。旨在可直接提交给招聘经理或 CISO。
## 本剧本涵盖的内容
NIST SP 800-61 事件响应生命周期的全部 6 个阶段,专为勒索软件量身定制:
| 阶段 | 重点 |
|-------|-------|
| 1 - 准备阶段 | 角色、事件前要求、资产文档记录 |
| 2 - 检测与分析 | Wazuh 规则 ID、分诊检查清单、查询命令 |
| 3 - 遏制 | 主机隔离 CLI 命令、网络阻断、进程终止 |
| 4 - 根除 | 持久化移除、凭据重置、恶意软件扫描 |
| 5 - 恢复 | 恢复优先级顺序、备份验证、解密选项 |
| 6 - 事件后活动 | 报告要求、30 天强化冲刺、经验教训 |
## 主要特性
**Wazuh SIEM 检测表**
14 个映射到勒索软件行为的特定 Wazuh 规则 ID —— 从 FIM 大规模修改警报(规则 87103)到 VSS 卷影副本删除(规则 31168),这是框架中置信度最高的勒索软件指标。
**MITRE ATT&CK 集成**
贯穿整个勒索软件杀伤链映射的 16 种技术:T1566(网络钓鱼)、T1490( inhibit System Recovery)、T1486(Data Encrypted for Impact)、T1489(Service Stop)等。每种技术都包含 Wazuh 检测指南。
**CLI 命令参考**
适用于每个遏制和根除操作的即用型命令:
- Linux iptables 主机隔离
- Windows PowerShell 防火墙规则
- 进程终止(Linux 和 Windows)
- 持久化追踪(cron、注册表、WMI 订阅、systemd)
- 备份验证与恢复
**经验教训模板**
结构化的事件后模板,包含事件时间轴字段、根本原因分析、行动项跟踪表和签字确认部分。
## 实际输出截图
## 输出
单一且独立的 HTML 文件(`ransomware_ir_playbook.html`),包含:
- 网络安全深色主题
- 颜色编码的阶段(蓝色、琥珀色、橙色、红色、绿色、紫色)
- 带锚点导航的目录
- 适合打印的布局
在任何浏览器中打开 —— 无依赖,无需构建步骤。
## 如何使用
```
# Clone repo
git clone https://github.com/Bphavin1/ransomware-ir-playbook.git
# 打开 playbook
open ransomware_ir_playbook.html
```
为您的组织进行自定义:
- 更新阶段 1 中的角色名称
- 将 Wazuh IP (10.0.0.130) 替换为您的 SIEM 地址
- 将您组织特定的核心资产添加到“事件前要求”部分
- 在每次事件发生后填写经验教训模板
## 参考框架
- NIST SP 800-61 Rev. 2 — Computer Security Incident Handling Guide
- MITRE ATT&CK Enterprise — 勒索软件技术映射
- MITRE ATT&CK ATLAS — AI 威胁考量
- Wazuh Open Source SIEM — 检测规则参考
## 展示的技能
- 事件响应规划和剧本开发
- NIST SP 800-61 生命周期实施
- MITRE ATT&CK 框架应用
- Wazuh SIEM 调优与检测工程
- Linux 和 Windows 取证命令行熟练度
- 面向高管和运营受众的技术文档撰写
## 作者
**Brian Pascal**
GRC 与第三方风险经理 | AI Governance | NIST CSF | CompTIA Security+
GitHub: [github.com/Bphavin1](https://github.com/Bphavin1)
LinkedIn: [linkedin.com/in/brianpascalsecurity](https://linkedin.com/in/brianpascalsecurity)
标签:AI合规, CISO, Cloudflare, Conpot, DAST, GitHub Advanced Security, IR Playbook, MITRE ATT&CK, NIST SP 800-61, PB级数据处理, PE 加载器, Wazuh, Windows安全, 主机隔离, 凭证重置, 勒索软件, 后端开发, 多模态安全, 子域名变形, 安全加固, 安全合规, 安全实验室, 安全运维, 库, 应急响应, 恶意软件分析, 检测规则, 网络代理, 网络安全, 网络安全作品集, 网络资产发现, 防火墙策略, 防钓鱼, 隐私保护