hijay166/Incident-Response-Playbooks
GitHub: hijay166/Incident-Response-Playbooks
针对勒索软件、钓鱼、DDoS 等多种网络安全事件的开箱即用事件响应剧本集合,按 MITRE ATT&CK 与 NIST IR 生命周期组织。
Stars: 0 | Forks: 0
# 事件响应剧本
针对多种网络安全事件的事件响应剧本
# 📋 事件响应剧本
## 📁 剧本
| # | 事件类型 | 严重程度 | MITRE 覆盖范围 |
|---|--------------|----------|----------------|
| 1 | [勒索软件](./playbooks/ransomware.md) | 🔴 严重 | T1486, T1490, T1489 |
| 2 | [钓鱼 / BEC](./playbooks/phishing.md) | 🟠 高 | T1566, T1078, T1534 |
| 3 | [内部威胁](./playbooks/insider-threat.md) | 🟠 高 | T1078, T1052, T1530 |
| 4 | [DDoS 攻击](./playbooks/ddos.md) | 🟡 中 | T1498, T1499 |
| 5 | [凭证填充](./playbooks/credential-stuffing.md) | 🟠 高 | T1110.004, T1078 |
## 🔄 IR 生命周期 (NIST SP 800-61)
```
┌─────────────┐
│ Preparation │ ← This repo!
└──────┬──────┘
▼
┌─────────────────────┐
│ Detection & Analysis│
└──────┬──────────────┘
▼
┌──────────────────────────────┐
│ Containment, Eradication │
│ & Recovery │
└──────┬───────────────────────┘
▼
┌──────────────────┐
│ Post-Incident │
│ Activity │
└──────────────────┘
```
## ⚡ 严重程度定义
| 级别 | 响应时间 | 描述 |
|-------|-------------|-------------|
| 🔴 严重 | 立即 (< 15 分钟) | 正在发生的入侵、勒索软件、数据泄露 |
| 🟠 高 | < 1 小时 | 已确认的失陷、横向移动 |
| 🟡 中 | < 4 小时 | 可疑活动、策略违规 |
| 🟢 低 | < 24 小时 | 异常、单一指标、未确认的入侵 |
## 📁 联系方式
- GitHub: [github.com/hijay166](https://github.com/hijay166)
- LinkedIn: [linkedin.com/in/tobi-bolaji-0861b218b](https://linkedin.com/in/tobi-bolaji-0861b218b/)
标签:安全规范, 安全运营, 库, 应急响应, 扫描框架, 文档, 网络安全, 配置错误, 防御加固, 隐私保护