reninjk/soc-incident-response

# 🛡️ SOC 事件响应 ## 📁 仓库结构 ``` soc-incident-response/ ├── playbooks/ │ ├── phishing-response.md │ ├── ransomware-response.md │ ├── account-compromise.md │ ├── malware-detection.md │ └── data-exfiltration.md ├── runbooks/ │ ├── alert-triage.md │ ├── ioc-enrichment.md │ ├── host-isolation.md │ └── evidence-collection.md ├── templates/ │ ├── incident-report-template.md │ ├── post-incident-review.md │ └── escalation-matrix.md ├── severity-matrix/ │ └── severity-classification.md └── .github/ └── workflows/ └── validate-markdown.yml ``` ## 🚨 事件严重级别 | 严重级别 | 响应时间 | 示例 | |----------|---------|------| | **P1 - 严重** | 15 分钟 | 勒索软件、活跃入侵、数据外泄 | | **P2 - 高** | 1 小时 | 账户失陷、恶意软件传播 | | **P3 - 中** | 4 小时 | 钓鱼尝试、单端点恶意软件 | | **P4 - 低** | 24 小时 | 策略违规、可疑日志活动 | ## 🔄 事件响应生命周期 1. **检测** → 来自 SIEM/EDR/邮件网关的告警触发 2. **分类** → 分析人员验证并分配严重级别 3. **遏制** → 隔离受影响系统/账户 4. **清除** → 移除威胁工件 5. **恢复** → 将系统恢复正常运行 6. **经验总结** → 72 小时内进行事后审查 ## 📞 升级联系人 | 角色 | 升级触发条件 | |------|-------------| | SOC 经理 | P1/P2 事件，或 P3 事件 2 小时未解决后 | | CISO | 活跃的数据泄露、勒索软件部署 | | 法务/合规 | 涉及个人身份信息(PII)、需进行监管通知 | | IT 领导层 | 业务关键系统受到影响 | ## 🔗 相关仓库 - [soc-detection-rules](LINK_URL_0/>) — SIEM 检测规则和 Sigma 规则 - [soc-automation](../soc-automation) — 响应自动化脚本 - [soc-compliance-reporting](../soc-compliance-reporting) — 审计与合规文档 ## 🏷️ MITRE ATT&CK 覆盖 本仓库中的剧本映射到以下 MITRE ATT&CK 战术： - Initial Access (TA0001) - Execution (TA0002) - Persistence (TA0003) - Credential Access (TA0006) - Exfiltration (TA0010) - Impact (TA0040) *由 SOC 经理维护 | 审查周期：每季度*

标签：AMSI绕过, EDR, PB级数据处理, Playbook, Runbook, SOAR, 严重级别, 事件报告, 事后审查, 勒索软件响应, 升级流程, 取证, 告警分类, 威胁情报, 威胁检测, 安全合规, 安全模板, 安全流程, 安全运维, 安全运营中心, 库, 应急响应, 开发者工具, 恶意软件, 标准操作程序, 网络代理, 网络映射, 脆弱性评估, 误报排查, 账户失陷, 钓鱼响应, 防御加固, 隔离