EstherMueni/enterprise-soc-playbooks

# 企业 SOC 事件响应手册 围绕真实企业环境构建的 Tier 1 SOC 分析师手册，涵盖德国网络安全就业市场最常见的安全事件。 ## 手册列表 | 手册 | 事件类型 | 环境 | 严重性 | |---|---|---|---| | [01](playbook-01-suspicious-login.md) | 可疑登录 | M365 / 云 | 中等 - 高 | | [02](playbook-02-endpoint-alert.md) | 端点安全警报 | Windows / Linux / Mac | 中等 - 严重 | | [03](playbook-03-firewall-alert.md) | 防火墙警报 | 网络边界 | 低 - 高 | | [04](playbook-04-phishing-m365.md) | 网络钓鱼 — M365 | Microsoft 365 | 中等 - 高 | | [05](playbook-05-vulnerability-management.md) | 漏洞管理 | 企业 | 低 - 严重 | ## 编写这些手册的原因 这些手册是专门根据德国 SOC 职位描述中提到的工具和环境构建的： - Microsoft 365 和 M365 Defender - SIEM 平台 — Splunk 和 ELK Stack - SOAR 自动化集成 - 端点检测与响应 - 防火墙和网络监控 - 漏洞管理工作流 ## SOAR 集成 每份手册都包含一个 “SOAR 自动化说明” 部分，记录哪些步骤可以自动化，哪些需要分析师人工判断。 这反映了真实的企业 SOC 运营情况：SOAR 负责处理重复性任务，分析师专注于决策。 ## 参考工具 - Microsoft 365 Defender - Splunk / ELK Stack SIEM - VirusTotal - AbuseIPDB - Shodan - Any.run - MalwareBazaar - MxToolbox - CISA 已知可利用漏洞 - NVD — 国家漏洞数据库 ## 体现的技能 - Tier 1 SOC 事件响应工作流 - 告警分类与调查方法 - 威胁情报增强 - Microsoft 365 安全运营 - 漏洞管理生命周期 - SOAR 自动化意识 - MITRE ATT&CK 框架映射 - 专业 SOC 文档记录 - 升级决策制定 ## 参考框架 - MITRE ATT&CK - CVSS — 通用漏洞评分系统 - NIST SP 800-61 事件响应 - Microsoft 安全最佳实践

标签：CISA项目, Cloudflare, ELK Stack, GPT, IP 地址批量处理, LIDS, Microsoft 365, MITRE ATT&CK, SOAR自动化, Tier 1 SOC分析, 企业安全, 剧本, 可疑登录, 威胁情报, 安全工具集成, 安全运营中心 (SOC), 开发者工具, 德国市场, 漏洞管理, 端点安全, 网络安全, 网络资产管理, 自动化响应, 补丁管理, 警报分类, 调查方法, 防火墙警报, 隐私保护