OscarArevaloSec/incident-response-playbooks

# 事件响应剧本 针对常见安全事件的蓝队分诊剧本。旨在展示 SOC 分析师的准备情况以及结构化的事件响应思维。 ## 剧本 | 剧本 | 事件类型 | 状态 | |---|---|---| | `phishing-triage.md` | 报告的钓鱼邮件分诊 | 计划中 | | `suspicious-login.md` | 可疑身份验证警报 | 计划中 | | `malware-alert.md` | 恶意软件检测与遏制 | 计划中 | | `data-exfiltration.md` | 潜在的数据渗出警报 | 计划中 | ## 模板 | 模板 | 用途 | |---|---| | `incident-report-template.md` | 可复用的事件报告结构 | | `ioc-collection-template.md` | 失陷指标收集表 | ## 剧本结构 每个剧本均遵循以下结构： 1. **检测** — 触发警报的原因及初始指标 2. **分诊** — 初始评估步骤与优先级确定 3. **调查** — 证据收集与分析步骤 4. **遏制** — 限制影响的即时措施 5. **根除与恢复** — 修复步骤 6. **经验教训** — 事件后的文档记录 ## 目的 这些剧本专为学习和作品集展示而设计。它们反映了真实的 SOC 工作流程，并结合了包括 NIST SP 800-61 和 SANS 事件响应方法论在内的行业标准框架。

标签：CSP, GitHub安全项目, NIST, SANS, SOC分析师, 事件报告, 入侵指标, 安全事件管理, 安全分诊, 安全合规, 安全工作流, 安全工程, 安全标准, 安全模板, 安全运营中心, 库, 应急响应, 异常登录, 恶意软件, 数据窃取, 网络代理, 网络安全, 网络安全作品集, 网络映射, 防御加固, 隐私保护