0xelitesystem/incident-response-runbooks

# 事件响应 Runbooks 针对常见安全事件的十本响应手册。每本手册遵循相同的骨架结构，因此待命响应人员无需为每个页面阅读不同的文档结构。 ## 骨架 每本响应手册均按顺序包含以下部分： 1. **触发** — 将你引导至此页面的警报、工单或报告 2. **即时响应** — 前 15 分钟内需要做的事情 3. **调查** — 查询、日志来源、影响范围指标 4. **遏制** — 在不破坏证据的情况下止血 5. **根除** — 移除攻击者的访问权限和持久化访问 6. **恢复** — 恢复服务，还原数据 7. **事件复盘** — 总结报告、经验教训、控制措施变更 8. **参考数据** — 上述步骤中使用的具体命令、IAM 操作和日志查询 ## 目录 | # | 响应手册 | 何时使用 | |---|---------|-------------| | 01 | [泄露的 AWS 密钥](runbooks/01-leaked-aws-keys.md) | 在公共代码库、粘贴网站或外部报告中发现了访问密钥 | | 02 | [公开的 S3 存储桶](runbooks/02-public-s3-bucket.md) | 存储桶暴露在互联网上，内容可能已被索引 | | 03 | [勒索软件](runbooks/03-ransomware.md) | 端点或文件服务器上出现加密活动 | | 04 | [账户被盗](runbooks/04-account-takeover.md) | 用户报告他们未曾执行过记录在其账户下的操作 | | 05 | [供应链攻击](runbooks/05-supply-chain-compromise.md) | 恶意软件包、供应商被入侵或构建系统被篡改 | | 06 | [内部威胁](runbooks/06-insider-threat.md) | 员工或承包商进行数据窃取或破坏 | | 07 | [DDoS](runbooks/07-ddos.md) | 针对公共端点的流量型或应用层攻击 | | 08 | [数据渗出](runbooks/08-data-exfiltration.md) | 异常流出、大量导出或未经授权的数据访问 | | 09 | [端点恶意软件](runbooks/09-malware-on-endpoint.md) | EDR 警报、可疑进程或用户报告的感染 | | 10 | [第三方数据泄露](runbooks/10-third-party-breach.md) | 供应商通知你其发生的影响到你们数据的泄露事件 | ## 预期用途 打印它们。或者将它们固定在待命响应手册系统中。或者将它们粘贴到团队 Wiki 中。它们不是纯理论的；每一个步骤都是你需要实际执行的操作，并附带了实际执行的命令或控制台路径。 如果你的环境与假设情况（以 AWS 为主的中型组织，具备成熟的日志记录）不同，请 fork 该手册并进行调整。骨架结构才是核心价值；特定于 AWS 的命令只是示例。 ## 贡献 如果你发现某本响应手册有误、顺序不当或缺少关键步骤，请提交包含详细信息的 issue。欢迎提交在每本手册中增加其他云提供商（Azure、GCP）内容的补丁。 ## 相关仓库 10 个安全审计仓库集合的一部分。 基于浏览器的审计工具： - [iam-policy-analyzer](https://github.com/0xelitesystem/iam-policy-analyzer) - [terraform-security-linter](https://github.com/0xelitesystem/terraform-security-linter) - [kubernetes-manifest-security-scanner](https://github.com/0xelitesystem/kubernetes-manifest-security-scanner) - [session-cookie-auditor](https://github.com/0xelitesystem/session-cookie-auditor) - [regex-redos-checker](https://github.com/0xelitesystem/regex-redos-checker) 参考集合： - [ai-llm-security-audit](https://github.com/0xelitesystem/ai-llm-security-audit) - [api-security-audit-checklist](https://github.com/0xelitesystem/api-security-audit-checklist) - [secrets-leak-response-runbook](https://github.com/0xelitesystem/secrets-leak-response-runbook) - [threat-modeling-worksheets](https://github.com/0xelitesystem/threat-modeling-worksheets) ## 许可证 MIT。参见 [LICENSE](LICENSE)。

标签：AWS, CISA项目, DAST, DDoS防护, DPI, Runbook, SecOps, SOP, 事件处置, 云安全架构, 内部威胁, 勒索软件, 安全事件响应, 安全模板, 安全运营, 库, 应急响应, 开源安全项目, 恶意软件分析, 扫描框架, 文档安全, 标准作业程序, 漏洞探索, 网络安全, 账户接管, 防御加固, 隐私保护