CyberSecAndy/incident-response-case-studies

# 事件响应案例研究 专业的事件响应案例研究，展示了真实世界的安全调查、威胁分析和补救程序。该仓库包含详细的事件响应报告，助你与初级安全分析师拉开差距。 ## 🎯 项目概述 **事件响应案例研究** 展示了专业级的安全调查。每个案例研究都演示了： - ✅ 时间线分析与事件重建 - ✅ 入侵指标提取 - ✅ 根本原因分析 - ✅ MITRE ATT&CK 技术映射 - ✅ 影响评估与严重性判定 - ✅ 遏制与根除程序 - ✅ 检测规则创建 - ✅ 经验教训与建议 这些报告如同 **真实的事件报告**，安全团队和管理层会阅读。 ## 📚 包含的案例研究 ### 案例研究 1：网络钓鱼入侵与横向移动 **严重性**: 🔴 **严重** **发生了什么**： - 用户点击了钓鱼链接 - 通过恶意 Office 宏窃取凭证 - 攻击者获得初始访问权限 - 横向移动至域管理员账户 - 尝试数据窃取 **学习成果**： - 电子邮件调查技术 - 凭证泄露检测 - 横向移动分析 - 威胁狩猎方法论 - 遏制程序 **时间线**：第 1 天 - 第 4 天（76 小时） ### 案例研究 2：勒索软件部署与加密 **严重性**: 🔴 **严重** **发生了什么**： - 利用未打补丁的 Windows 漏洞 - 通过组策略进行横向移动 - 部署勒索软件 - 删除卷影副本 - 发送勒索要求 **学习成果**： - 勒索软件指标 - 权限提升检测 - 防御规避技术 - 恢复程序 - 防御策略 **时间线**：第 1 天 - 第 5 天（97 小时） ### 案例研究 3：内部威胁 - 数据窃取 **严重性**: 🟠 **高** **发生了什么**： - 心怀不满的员工下载文件 - 发现异常下载模式 - 向云存储大量传输数据 - 试图掩盖行踪 - 员工被解雇 **学习成果**： - 行为分析 - 用户活动监控 - 异常检测 - 数据防泄漏 - 法律考量 **时间线**：第 1 天 - 第 3 天（64 小时） ### 案例研究 4：凭证泄露 - 账户接管 **严重性**: 🟠 **高** **发生了什么**： - 来自外部泄露的凭证被利用 - 管理员账户被接管 - 未经授权创建资源 - 云基础设施被入侵 - 尝试横向移动 **学习成果**： - 凭证重用风险 - 云安全监控 - 可疑活动模式 - 身份与访问管理调查 - 多因素认证的优势 **时间线**：第 1 天 - 第 2 天（48 小时） ### 案例研究 5：恶意软件分发 - 木马部署 **严重性**: 🔴 **严重** **发生了什么**： - 通过木马化安装程序传播恶意软件 - 命令与控制通信 - 系统被入侵 - 凭证收割 - 建立持久化机制 **学习成果**： - 恶意软件分析基础 - C2 检测 - 网络指标 - 文件系统痕迹 - 补救验证 **时间线**：第 1 天 - 第 4 天（80 小时） ### 案例研究 6：高级持续性威胁 **严重性**: 🔴 **严重** **发生了什么**： - 多阶段的复杂攻击 - “就地取材”技术 - 通过多种机制实现持久化 - 长达数月的数据窃取 - APT 归因指标 **学习成果**： - 高级攻击模式 - 归因技术 - 长期入侵分析 - 战略性建议 - 高管沟通 **时间线**：第 1 天 - 第 7 天+（持续进行） ## 🏗️ 仓库结构 ``` incident-response-case-studies/ │ ├── README.md (This file) ├── CASE-STUDY-TEMPLATE.md (How to write case studies) ├── LICENSE ├── .gitignore │ ├── case-studies/ │ │ │ ├── 001-phishing-compromise/ │ │ ├── README.md (Executive summary) │ │ ├── TIMELINE.md (Event timeline) │ │ ├── INVESTIGATION.md (Detailed investigation) │ │ ├── INDICATORS.md (IOCs extracted) │ │ ├── MITRE-MAPPING.md (ATT&CK mapping) │ │ ├── DETECTION.md (Detection rules created) │ │ ├── CONTAINMENT.md (Response procedures) │ │ ├── REMEDIATION.md (Fix procedures) │ │ ├── LESSONS-LEARNED.md (Recommendations) │ │ └── artifacts/ (PCAP, logs, screenshots) │ │ │ ├── 002-ransomware-deployment/ │ │ └── (Same structure) │ │ │ ├── 003-insider-threat/ │ │ └── (Same structure) │ │ │ ├── 004-account-takeover/ │ │ └── (Same structure) │ │ │ ├── 005-malware-trojan/ │ │ └── (Same structure) │ │ │ └── 006-apt-campaign/ │ └── (Same structure) │ ├── resources/ │ ├── ir-playbook.md (Incident response process) │ ├── ioc-extraction-guide.md (How to extract IOCs) │ ├── timeline-analysis.md (Timeline techniques) │ ├── root-cause-analysis.md (RCA methodology) │ └── executive-reporting.md (How to report to leadership) │ └── templates/ ├── incident-summary-template.md ├── timeline-template.md ├── ioc-template.md └── executive-summary-template.md ``` ## 🚀 快速入门（20 分钟） ### 1. 阅读执行摘要 从 **案例研究 1：网络钓鱼入侵** 开始： - `case-studies/001-phishing-compromise/README.md` - 5 分钟阅读 - 从高层次理解事件 ### 2. 回顾时间线 - `case-studies/001-phishing-compromise/TIMELINE.md` - 按时间顺序跟踪事件 - 理解攻击进程 ### 3. 学习调查过程 - `case-studies/001-phishing-compromise/INVESTIGATION.md` - 查看调查技术 - 学习证据收集 - 理解分析方法论 ### 4. 提取 IOC - `case-studies/001-phishing-compromise/INDICATORS.md` - 查看发现了哪些指标 - 理解 IOC 格式 - 学习提取技术 ### 5. 映射到 MITRE ATT&CK - `case-studies/001-phishing-compromise/MITRE-MAPPING.md` - 连接到威胁框架 - 理解攻击者技术 - 学习分类系统 ## 📖 学习路径 ### 初学者（第一周） 1. 阅读 CASE-STUDY-TEMPLATE.md（理解案例研究格式） 2. 学习案例研究 1（网络钓鱼 - 最常见） 3. 重点关注：时间线、IOC、MITRE 映射 4. 阅读：执行报告指南 5. 练习：从你自己的环境中提取 IOC ### 中级者（第二周） 1. 学习案例 2-4（勒索软件、内部威胁、账户接管） 2. 学习：不同的事件类型和模式 3. 重点关注：根本原因分析与遏制 4. 练习：撰写时间线分析 5. 分析：哪些检测规则能抓住每个事件 ### 高级者（第三周及以后） 1. 学习案例 5-6（恶意软件、APT） 2. 学习：高级攻击模式 3. 重点关注：归因与战略性建议 4. 练习：撰写完整的事件报告 5. 创建：针对每个案例的检测/狩猎规则 ## 📋 案例研究组成部分 每个案例研究包含 8 个部分： ### 1. **README.md** - 执行摘要 - 事件概述（100-150 字） - 关键日期和时间线 - 严重性和影响 - 关键发现摘要 - **受众**：高管、经理、团队负责人 ### 2. **TIMELINE.md** - 事件重建 - 按时间顺序列出的事件 - 时间戳和证据 - 系统进程 - 攻击阶段 - **目的**：理解事件流程 ### 3. **INVESTIGATION.md** - 详细分析 - 调查方法论 - 证据收集 - 分析过程 - 关键发现 - 调查员笔记 - **目的**：学习调查技术 ### 4. **INDICATORS.md** - IOC 提取 - 文件哈希值（MD5、SHA1、SHA256） - IP 地址（内部/外部） - 域名 - 修改的注册表项 - 进程名称和命令行 - **格式**：可供安全工具读取的机器可读格式 ### 5. **MITRE-MAPPING.md** - ATT&CK 框架 - 攻击者使用的技术 - 战术（初始访问、执行等） - 子技术 - 证据映射 - **目的**：使用行业标准进行分类 ### 6. **DETECTION.md** - 检测规则 - 可检测事件的规则 - Splunk SPL 示例 - Elastic KQL 示例 - Sigma 规则 - **目的**：学习检测工程 ### 7. **CONTAINMENT.md** - 响应程序 - 即时遏制步骤 - 系统隔离 - 撤销访问权限 - 证据保全 - **目的**：学习响应程序 ### 8. **REMEDIATION.md** - 恢复步骤 - 系统清理 - 打补丁程序 - 加固配置 - 数据恢复 - 验证程序 - **目的**：恢复正常运营 ## 🎯 关键学习成果 完成这些案例研究后，你将能够： ### 调查技能 - ✅ 重建攻击时间线 - ✅ 提取和格式化 IOC - ✅ 关联系统事件 - ✅ 识别根本原因 - ✅ 保全取证证据 ### 分析技能 - ✅ 映射到 MITRE ATT&CK 框架 - ✅ 评估事件严重性 - ✅ 理解攻击模式 - ✅ 识别攻击者动机 - ✅ 进行归因分析 ### 响应技能 - ✅ 制定遏制策略 - ✅ 创建补救程序 - ✅ 验证修复措施 - ✅ 防止再次发生 - ✅ 记录经验教训 ### 沟通技能 - ✅ 撰写执行摘要 - ✅ 向管理层汇报发现 - ✅ 向业务方解释技术问题 - ✅ 记录程序 - ✅ 创建可操作的建议 ## 🔗 与其他项目的集成 此项目与以下项目协同工作： **使用来自**： - 🔴 **家庭 SOC 实验室** - 模拟你调查的事件 - 🔴 **检测规则工程** - 检测这些事件的规则 - 🔴 **SIEM 检测与威胁狩猎** - 用于调查的工具 **提供数据给**： - 🟢 **恶意软件流量分析** - 事件期间的网络分析 - 🟢 **SOC 自动化脚本** - 自动化 IOC 收集和报告 ## 📊 案例研究统计 | 案例研究 | 类型 | 严重性 | 时长 | 复杂度 | |-----------|------|----------|----------|-----------| | **001：网络钓鱼** | 初始访问 | 🔴 严重 | 76 小时 | 中等 | | **002：勒索软件** | 影响 | 🔴 严重 | 97 小时 | 高 | | **003：内部威胁** | 数据窃取 | 🟠 高 | 64 小时 | 中等 | | **004：账户接管** | 凭证访问 | 🟠 高 | 48 小时 | 中等 | | **005：恶意软件木马** | 执行 | 🔴 严重 | 80 小时 | 高 | | **006：APT 活动** | 多阶段 | 🔴 严重 | 7+ 天 | 非常高 | ## 🛠️ 工具与技术 ### 调查工具 - **Splunk** - 日志分析和 SIEM - **Elastic Stack** - 替代性 SIEM - **Wireshark** - 网络分析 - **FTK Imager** - 取证镜像 - **Volatility** - 内存分析 - **Autopsy** - 数字取证 ### 分析工具 - **MITRE ATT&CK** - https://attack.mitre.org/ - **AlienVault OTX** - 威胁情报 - **VirusTotal** - 文件分析 - **Hybrid Analysis** - 恶意软件沙箱 - **Shodan** - 网络侦察 ### 报告工具 - **Markdown** - 文档编写 - **Mermaid** - 图表创建 - **PlantUML** - 架构图 ## 📚 资源与参考 ### 事件响应框架 - **NIST 网络安全框架** - https://www.nist.gov/cyberframework - **SANS 事件响应方法论** - 准备、检测、遏制、根除、恢复、事后总结 - **ISO/IEC 27035** - 信息安全事件管理 ### MITRE 框架 - **ATT&CK 矩阵** - https://attack.mitre.org/ - **威胁报告** - 真实世界攻击示例 - **技术描述** - 详细的技术信息 ### 取证与分析 - **SANS 取证白皮书** - 数字取证程序 - **Volatility 文档** - 内存分析技术 - **Wireshark 指南** - 网络流量分析 ## ❓ 常见问题 ### 问：什么是好的事件报告？ **答**： - ✅ 清晰的事件时间线 - ✅ 提取出的、可供部署的 IOC - ✅ 明确识别的根本原因 - ✅ MITRE ATT&CK 映射 - ✅ 具体的补救步骤 - ✅ 预防性建议 - ✅ 执行摘要 ### 问：如何提取 IOC？ **答**： 1. **文件哈希值** - 对任何可疑文件进行哈希（MD5、SHA256） 2. **IP 地址** - 记录来源/目的 IP 3. **域名** - 提取查询过的域名 4. **注册表项** - 记录修改的注册表路径 5. **进程名称** - 捕获父/子进程 6. **文件名** - 记录可疑的文件路径 ### 问：如何映射到 MITRE ATT&CK？ **答**： 1. 审查案例研究的证据 2. 访问 https://attack.mitre.org/ 3. 查找与观察到的行为匹配的技术 4. 记录战术和技术 5. 将证据与技术关联起来 6. 创建关联图 ### 问：如何向高管汇报？ **答**： - **保持简短** - 最多 1-2 页 - **先讲执行摘要** - 3-5 个关键点 - **业务影响** - 资金、数据、运营 - **已采取的行动** - 遏制、根除 - **预防措施** - 如何预防未来事件 - **避免术语** - 用业务语言解释技术术语 ### 问：我可以贡献案例研究吗？ **答**：可以！请参阅 CONTRIBUTING.md 了解提交你自己的案例研究的指南。 ## 🎓 高级主题 ### 取证分析 - 磁盘取证与文件雕刻 - 内存分析与 Volatility - 事件日志重建 - 注册表分析 - 浏览器取证 ### 威胁情报 - IOC 收集与丰富 - 威胁行为者归因 - 活动追踪 - 基础设施分析 - TTP（战术、技术、程序） ### 高级事件响应 - 多阶段攻击分析 - 供应链入侵 - 内部威胁调查 - 国家级归因 - 长期入侵分析 ## 📈 项目组合影响力 此项目展示了： - 🔴 **专业成熟度** - 真实的事件响应经验 - 🔴 **调查技能** - 分析复杂事件的能力 - 🔴 **技术深度** - 对攻击模式的理解 - 🔴 **沟通能力** - 能够向高管解释技术问题 - 🔴 **事件响应** - 完整的 IR 工作流知识 ## 📞 支持与故障排除 ### 理解时间线 - 使用时间顺序 - 包含精确的时间戳 - 将证据与事件关联 - 展示因果关系 - 突出关键决策 ### 提取 IOC - 彻底且完整 - 使用标准格式 - 记录来源 - 验证哈希格式 - 对指标进行去重 ### MITRE 映射 - 访问 attack.mitre.org - 阅读技术描述 - 与案例证据匹配 - 记录推理过程 - 创建可视化映射 ## 🤝 贡献 要贡献事件案例研究： 1. 创建文件夹：`case-studies/NNN-incident-name/` 2. 遵循模板结构（8 个文件） 3. 包含真实或仿真的场景 4. 彻底记录 5. 添加证据制品 6. 提交拉取请求 详见 **CONTRIBUTING.md** 的详细指南。 ## 📄 许可证 本项目采用 **MIT 许可证** - 详见 LICENSE 文件。 ## 🚀 后续步骤 1. **阅读 CASE-STUDY-TEMPLATE.md** - 理解案例研究结构 2. **从案例研究 1 开始** - 网络钓鱼入侵（最常见） 3. **学习每个组成部分** - 时间线、IOC、MITRE 映射 4. **分析检测规则** - 哪些规则能抓住这个事件？ 5. **创建你自己的案例研究** - 记录一个真实或模拟的事件 ## 📊 项目统计 - **总案例研究**：6 个完整调查 - **调查深度**：每个案例 8 个详细组件 - **学习时间**：25-35 小时可完全掌握 - **难度级别**：中级到高级 - **前置要求**：基本安全知识，熟悉 SIEM **状态**：🟢 已准备好用于生产环境 **最后更新**：2026-05-20 **维护者**：CyberSecAndy **掌握事件响应！🚀** 从 [案例研究 1：网络钓鱼入侵](case-studies/001-phishing-compromise/README.md) 开始 →

标签：Cloudflare, DAST, IOC提取, MITRE ATT&CK, MIT许可证, Object Callbacks, 专业报告, 事件处理, 修复程序, 内部威胁, 勒索软件, 威胁分析, 威胁建模, 威胁情报, 安全修复, 安全分析师, 安全调查, 安全运营, 开发者工具, 影响评估, 恶意软件分析, 扫描框架, 数字取证, 根因分析, 案例研究, 检测规则, 经验教训, 网络安全, 网络资产发现, 网络钓鱼, 自动化侦查工具, 自动化脚本, 遏制, 隐私保护