RMBRPK/Corporate-Emergency-Response-Guidance-Skill

# 企业应急响应指导 Skill（AI 时代｜工程化闭环版） 本 Skill 用于帮助单位在突发网络安全事件中，快速建立“**可控、可审计、可复盘、可持续进化**”的应急响应作业体系。 它吸收了两类材料的工程化经验： 1. **TCH 智能渗透挑战赛**（高分队伍共识）：Harness/Environment Engineering、共享状态（黑板/WAL）、纠偏（Advisor/Alignment）、证据驱动（VBR）。 2. **Solar 应急响应挑战/月赛官方题解**（实战案例取向）：从流量/日志/主机/内存取证出发，还原入侵路径、提取 IOC、处置与复盘。 3. **NOPTrace Linux/Windows 应急响应手册**：强化了 Linux/Windows 现场 SOP、常见事件分流、低误用证据保全、善后与横向定损清单。 ## 目录结构 企业应急响应指导Skill/ ├─ SKILL.md ├─ 使用指南与提示词示例.md ├─ playbooks/ │ ├─ 常见事件处置速查.md │ └─ 取证与证据规范.md │ └─ CTF应急题解题模板.md │ └─ Linux应急响应现场手册.md │ └─ Windows应急响应现场手册.md │ └─ 善后与横向定损检查单.md ├─ scripts/ │ ├─ note.py # 低摩擦记录（WAL），支持结构化 actions │ ├─ loop_detector.py # 卡住/打转检测 + Advisor 纠偏模板 │ ├─ generate_report.py # 从 working session 生成应急响应报告（Markdown） │ ├─ retrospect_ir.py # 生成候选经验（candidates + evolution report） │ └─ apply_updates_ir.py # 人工审核后合并候选到主模式库（防污染门禁） ├─ memory/ │ ├─ working/ │ │ ├─ current_session.json │ │ └─ session-template.json │ ├─ semantic/ │ │ ├─ ir-patterns.json │ │ └─ ir-patterns.candidates.json │ ├─ episodic/2026/ # 情景快照（可追溯） │ └─ evolution-reports/ # 进化报告草稿 ├─ templates/ │ ├─ report_template.md │ └─ timeline_template.md └─ reports/ ## 快速开始（推荐工作流） 1. 初始化会话（事件名称、范围、规则）： python3 scripts/note.py --phase triage \ --set incident_name="2026Q2-疑似挖矿告警" \ --set scope="srv-01, 10.0.0.0/24, example.com" \ --set rules="最小影响+先取证后处置+关键动作需HITL确认" 2. 关键动作/证据落盘（结构化 actions）： python3 scripts/note.py "验证：发现异常高CPU进程，疑似挖矿" --phase triage \ --action verify --verdict pass --reason "cpu-anomaly" \ --tool ssh --target "srv-01" --evidence "./evidence/top.txt" 3. 卡住时纠偏： python3 scripts/loop_detector.py 4. 生成报告草稿： python3 scripts/generate_report.py --out reports/ir-report.md 5. 事件结束后生成“候选经验”（不合并）→ 审核 → 合并： python3 scripts/retrospect_ir.py --limit 5 python3 scripts/apply_updates_ir.py --list python3 scripts/apply_updates_ir.py --ids cand-... --reviewer "应急负责人" ## 你现在额外能得到什么 相比早期版本，这个 Skill 现在额外强调： - **按事件类型分流**：挖矿、远控、勒索、暴力破解、钓鱼、隧道、数据库事件、供应链、BadUSB - **按操作系统给现场动作**： - Linux：`playbooks/Linux应急响应现场手册.md` - Windows：`playbooks/Windows应急响应现场手册.md` - **善后与横向定损**： - `playbooks/善后与横向定损检查单.md` - **更适合真实企业复核的记录字段**： - `severity / timezone / sources / stakeholders / assets`

标签：CTF题解, Homebrew安装, IOC提取, IR标准作业程序, Linux应急响应, LLM安全应用, PB级数据处理, SecList, TGT, VBR证据驱动, WAL日志, Windows应急响应, 主机取证, 事件响应自动化, 企业安全, 入侵路径还原, 内存取证, 子域名变形, 安全事件分流, 安全事件处置, 安全复盘, 安全工程化, 安全报告生成, 安全检查单, 安全运维, 库, 应急响应, 插件系统, 攻防演练, 数字取证, 无线安全, 横向定损, 经验进化, 结构化记录, 网络安全, 网络安全审计, 网络资产管理, 自动化脚本, 证据保全, 逆向工具, 防守方工具, 防御加固, 隐私保护