theodoredanielakinkeji/incident-response-playbook

# 🚨 事件响应手册 ## 📌 什么是事件响应手册？ 事件响应（IR）手册是一套文档化的程序，指导安全团队在检测、遏制和从网络攻击或安全漏洞中恢复的过程中。拥有一个手册确保了快速、一致和有效的响应。 ## 🔄 事件响应生命周期 ``` 1. PREPARATION → 2. IDENTIFICATION → 3. CONTAINMENT ↓ 6. LESSONS LEARNED ← 5. RECOVERY ← 4. ERADICATION ``` ## 📖 手册 1：钓鱼攻击 ### 🔍 检测信号 - 用户报告可疑电子邮件 - 电子邮件包含不寻常的链接、附件或请求凭证 - 电子邮件安全网关标记该消息 ### 🛑 遏制步骤 1. 指示用户**不要点击**任何链接或下载附件 2. 立即将受影响的工作站从网络中隔离 3. 在邮件网关上阻止发送者的电子邮件地址 4. 保留电子邮件作为证据（转发给安全团队） ### 🧹 清除步骤 1. 使用更新的防病毒/反恶意软件扫描工作站 2. 检查可能已在钓鱼网站上输入的任何凭证 3. 立即重置受损害的密码 4. 从组织范围内的所有收件箱中删除任何恶意电子邮件 ### 🔁 恢复步骤 1. 在确认工作站清洁后重新连接工作站 2. 在72小时内监控用户账户的异常活动 3. 通知受影响的用户和管理层 ### 📋 事件后 - 记录事件时间线 - 进行员工意识培训提醒 - 更新电子邮件过滤规则 ## 📖 手册 2：暴力破解攻击 ### 🔍 检测信号 - 短时间内多次失败的登录尝试 - 重复触发账户锁定 - IDS/SIEM对不寻常的认证流量发出警报 ### 🛑 遏制步骤 1. 立即锁定目标账户 2. 在防火墙上阻止攻击者的IP地址 3. 通知账户所有者 4. 保留防火墙和认证日志作为证据 ### 🧹 清除步骤 1. 识别攻击中针对的所有账户 2. 在所有受影响的账户上强制重置密码 3. 在目标账户上启用多因素认证（MFA） 4. 审查防火墙规则并加强访问控制 ### 🔁 恢复步骤 1. 在重置密码和设置MFA后恢复账户访问 2. 在事件发生后48-72小时内监控账户 3. 审查并更新登录尝试阈值 ### 📋 事件后 - 记录攻击者IP、时间和目标账户 - 审查密码策略——强制执行更严格的要求 - 考虑实施CAPTCHA或账户锁定策略 ## 📖 手册 3：恶意软件感染 ### 🔍 检测信号 - 工作站上触发防病毒警报 - 系统行为异常（性能缓慢、意外弹出窗口） - 检测到不寻常的出站网络流量 - 文件意外加密或删除 ### 🛑 遏制步骤 1. **立即**将受感染的机器从网络中隔离（拔掉LAN/禁用Wi-Fi） 2. 不要关闭机器（保留易失性内存证据） 3. 通知安全团队和管理层 4. 使用防病毒或VirusTotal识别恶意软件类型 ### 🧹 清除步骤 1. 运行完整的防病毒/反恶意软件扫描 2. 手动删除已识别的恶意文件和注册表条目 3. 检查持久性机制（启动条目、计划任务） 4. 如果无法清理——擦除并重新映像机器 ### 🔁 恢复步骤 1. 从最后已知干净的备份中恢复数据 2. 在完全清除后仅将机器重新连接到网络 3. 补丁允许感染漏洞 4. 在恢复的机器上监控网络流量1周 ### 📋 事件后 - 识别感染向量（电子邮件、USB、下载） - 在网关上阻止恶意软件哈希/签名 - 在所有端点上更新防病毒定义 - 向员工简要介绍感染方法 ## 📊 严重程度分类 | 级别 | 描述 | 响应时间 | |-------|-------------|--------------| | 🔴 严重 | 活动漏洞、数据泄露、勒索软件 | 立即——15分钟内 | | 🟠 高 | 确认的恶意软件、暴力破解成功 | 1小时内 | | 🟡 中 | 钓鱼尝试、可疑活动 | 4小时内 | | 🟢 低 | 政策违规、轻微异常 | 24小时内 | ## 📁 事件日志模板 事件ID : IR-2024-09-15-001 日期/时间 : 2024年9月15日，上午10:32 报告人 : IT安全团队 事件类型 : 钓鱼 受影响系统 : 员工电子邮件账户（3个用户） 严重程度 : 中 采取的行动 : 隔离受影响的账户、阻止发送者域名、重置密码、扫描工作站、通知员工 解决人 : Daniel Theodore Akinkeji 解决日期 : 2024年9月15日，下午2:45 备注 : 提醒员工电子邮件安全最佳实践。 更新电子邮件过滤规则以阻止类似尝试。 *由：Daniel Theodore Akinkeji | 网络安全分析师*

标签：日志审计, 逆向工具