Yotechi/secops-detection-and-ir
GitHub: Yotechi/secops-detection-and-ir
面向开源项目的安全运营实战课程,提供从Sigma检测规则编写、GitHub审计日志分析到事件响应预案与桌面推演的完整训练路径。
Stars: 0 | Forks: 0
# secops-detection-and-ir
本课程的前六个仓库侧重于**预防**:阻止 bug、扫描依赖、加固 CI、清除 secrets。而本仓库关注的是当预防失效时会发生什么——这迟早会发生。
三个层面:
1. **检测** —— 编写在发生可疑情况时触发的规则。
2. **分诊** —— 对警报进行分类:真实威胁、误报、忽略。
3. **响应** —— 执行包含和修复操作的预案。
对于像 Home Assistant 这样的项目——大型 OSS、数百名贡献者、漫长的供应链、实时访问人们的家庭——威胁是具体的:维护者账户被盗、恶意 PR、泄露的 secrets、供应链攻击。本仓库为您提供了应对每种情况的模板。
## 课程
| # | 实验 | 时间 |
|---|---|---|
| 1 | [Sigma 规则基础](exercises/01-sigma.md) | 30 分钟 |
| 2 | [读取 GitHub 审计日志](exercises/02-audit-log.md) | 30 分钟 |
| 3 | [针对 OSS 项目的 MITRE ATT&CK 导航器](exercises/03-attack.md) | 20 分钟 |
| 4 | [IR 预案演练:secret 泄露](exercises/04-drill-secret.md) | 30 分钟 |
| 5 | [IR 预案演练:维护者账户被盗](exercises/05-drill-maintainer.md) | 45 分钟 |
| 6 | [IR 预案演练:恶意 PR](exercises/06-drill-malicious-pr.md) | 30 分钟 |
| 7 | [桌面推演:针对 HA 基础设施的勒索软件攻击](exercises/07-tabletop.md) | 60 分钟 |
总计:约 4 小时。
## 预案(先阅读,然后再演练)
- [维护者账户被盗](playbooks/compromised-maintainer.md)
- [Secret 泄露](playbooks/leaked-secret.md)
- [恶意 PR / 依赖](playbooks/malicious-pr.md)
- [可疑的 workflow 运行](playbooks/suspicious-workflow.md)
## 模板
- [Postmortem 模板](templates/postmortem.md) —— 在事件发生**之后**编写的文档,正是能够预防下一次事件的那份文档。
- [严重性矩阵](templates/severity.md)
- [Sigma 规则模板](rules/template.yml)
## 概念
### 检测 vs 预防 vs 响应
- **预防** —— 让坏事无法发生(push protection、RBAC、CodeQL)。
- **检测** —— 在坏事发生时发现它(审计日志警报、Sigma 规则)。
- **响应** —— 遏制并修复(playbook、轮换、沟通)。
这三者缺一不可。一个痴迷于预防但没有检测能力的团队是盲目的。一个拥有出色检测能力但没有响应计划的团队则会陷入恐慌。
### OSS 安全运营有何特殊之处?
| OSS 特有的关注点 | 针对 HA 的示例 |
|---|---|
| 维护者账户被盗 | 维护者的 GitHub 账户被盗 → 恶意发布 |
| 依赖混淆 | 内部包名与发布到 PyPI 的包名冲突 |
| 来自贡献者的恶意 PR | 新贡献者在一行“修复”中添加了隐蔽的后门 |
| 长期分支 | 旧的发布分支存在未修补的漏洞 |
| 无偿的响应时间 | 没有 7x24 小时的 SOC。需要任何值班人员都能遵循的 playbook。 |
| 事件的公开可见性 | 漏洞披露的时机至关重要;用户会看到你的恐慌 |
这些因素决定了你如何编写检测规则和响应 playbook。
### “检测工程”思维
检测规则即假设:“如果发生了 X,很可能是受到了攻击。”像对待代码一样对待它:
- 在 git 中进行**版本控制**。
- 在部署前进行**审查**。
- **测试** —— 在正向用例下是否会触发?在反向用例下是否能保持静默?
- **调优** —— 误报率很重要;疲惫的人类会直接禁用一条嘈杂的规则。
- **退役** —— 当威胁消失时,规则也应随之移除。
Sigma 是标准格式。SIEM(Splunk、Sentinel、Elastic)可以对其进行解析处理。
## 许可证
MIT。
标签:Cloudflare, Detection Engineering, DevSecOps, GitHub审计日志分析, Home Assistant, IR演练, MITRE ATT&CK, Python 实现, Sigma规则, StruQ, 上游代理, 事件响应手册, 供应链攻击, 安全事件响应, 安全合规, 安全教育, 安全运营, 开源软件安全, 恶意PR检测, 扫描框架, 文档安全, 桌面演练, 泄露密钥响应, 漏洞修复, 目标导入, 私有化部署, 网络代理, 网络安全培训, 防御加固, 防御规避