blessedgem/web3-security-incident-response-lab

# Web3 安全事件响应实验室 本项目模拟了一起影响远程优先 Web3 组织的真实安全事件。 场景从开发者端点被攻陷开始，逐步扩展到云凭证滥用、GitHub 持久化以及 Web3/RPC 基础设施探测。 该实验室在设计上有意使其能首先通过 **WSL + CSV 日志** 完成，而无需启动真实的攻击。随后，可以使用 Kali Linux 和受害 VM 来生成实时日志以进行扩展。 ## 展示技能 - 事件响应生命周期 - 事件指挥与沟通 - 使用 macOS 风格的工件进行端点调查 - 云凭证泄露分析 - GitHub 审计调查 - Web3/RPC 滥用调查 - Sigma 检测工程 - 用于时间线重建和报告的 Python 自动化 - 指标丰富 - 高管和技术事件报告 - Playbook 开发 - 桌面演练设计 ## 项目场景 一名远程开发者收到伪造的软件更新消息并运行了可疑命令。 攻击者建立了持久化，访问了凭证文件，滥用了云凭证，添加了 GitHub SSH 密钥，修改了工作流，并产生了异常的 Web3/RPC 流量。 ## 仓库结构 ``` web3-security-incident-response-lab/ ├── README.md ├── incident-scenario.md ├── architecture.md ├── playbooks/ ├── detections/ │ └── sigma/ ├── automation/ ├── sample-logs/ │ ├── endpoint/ │ ├── cloud/ │ ├── github/ │ └── web3/ ├── reports/ ├── tabletop/ └── docs/ ``` ## 如何运行自动化 从项目根目录执行： ``` python3 -m venv .venv source .venv/bin/activate pip install pandas pyyaml python3 automation/build_timeline.py python3 automation/enrich_indicators.py python3 automation/generate_incident_report.py ``` 输出内容将被写入 `reports/` 文件夹。 ## 面试建议说明 我搭建了一个实用的 Web3 事件响应实验室，模拟了一起真实的远程公司事件：macOS 风格的开发者端点被攻陷，导致凭证失窃、云侦察、GitHub 访问滥用以及 Web3/RPC 基础设施探测。我处理了完整的事件生命周期：分诊、范围确定、遏制、修复、事后分析、Sigma 检测、Playbook，以及用于生成时间线和报告的 Python 自动化。

标签：CSV分析, GitHub安全, GitHub审计, IP 地址批量处理, macOS取证, OPA, Python自动化, RPC安全, SaaS安全, Sigma规则, StruQ, Web3安全, 事件报告, 云凭据滥用, 供应链攻击, 区块链安全, 威胁情报富化, 安全事件响应, 安全剧本, 安全培训, 恶意代码分类, 插件系统, 搜索语句（dork）, 文档安全, 时间线重建, 桌面演练, 目标导入, 端点安全, 网络安全实验室, 网络安全审计, 补丁管理, 逆向工具, 靶场