NoahPageIT/soc-incident-response
GitHub: NoahPageIT/soc-incident-response
一个基于 NIST 生命周期和 MITRE ATT&CK 框架的 SOC 事件响应案例库与 Playbook 集合,帮助分析师标准化安全事件的调查和处置流程。
Stars: 0 | Forks: 0
# SOC 事件响应 - 案例分析与 Playbook
记录的事件调查及其背后的 runbook,编写方式符合
SOC 分析师处理案件的流程:检测、分析、遏制、根除、恢复和
总结。调查遵循 **NIST SP 800-61** 事件响应生命周期
,并将活动映射到 **MITRE ATT&CK**。
这个 repo 是其余工具包的连接组织 - 它展示了
*过程*,以及每个工具在此过程中的接入点。
## 案例分析
| # | 事件 | 技术 | 结论 |
|---|----------|-----------|---------|
| [2026-001](incidents/2026-001-vpn-bruteforce-to-c2.md) | Phishing -> VPN brute force -> 成功登录 -> C2 beaconing | T1566, T1110, T1078, T1071 | 真阳性,已遏制 |
## Playbook
针对 Tier-1 分析师最常见告警的可重复 runbook:
- [Brute force / password spray](playbooks/brute-force.md) - T1110
- [上报的 phishing 邮件](playbooks/phishing.md) - T1566
- [疑似 C2 beaconing](playbooks/c2-beaconing.md) - T1071
## 模板
- [事件报告模板](templates/incident-report-template.md) -
这里的每个案例分析都遵循的结构。
## 这些案例使用的工具包
| 阶段 | 工具 |
|-------|------|
| 检测 | [Argus SIEM](https://github.com/NoahPageIT/argus-siem), [Splunk SOC Lab](https://github.com/NoahPageIT/splunk-soc-lab), [Sigma Detections](https://github.com/NoahPageIT/sigma-detections) |
| 邮件分析 | [PhishTriage](https://github.com/NoahPageIT/phish-triage) |
| Indicator enrichment | [ThreatTriage](https://github.com/NoahPageIT/threat-triage) |
| 网络分析 | [NetTriage](https://github.com/NoahPageIT/net-triage) |
| 检测验证 | [Purple Team Lab](https://github.com/NoahPageIT/purple-team-lab) |
标签:IP 地址批量处理, 事件调查, 子域枚举, 安全蓝队, 安全运营, 安全运营手册, 库, 应急响应, 扫描框架, 网络安全, 防御加固, 隐私保护