showmeattack/soc-playbooks

# SOC L1 事件响应手册 为安全运营中心 (SOC) 一级分析师整理的 **11 份操作手册** 合集。每份操作手册都详细介绍了常见告警类型的分诊、调查、遏制和升级流程 —— 并提供了可直接使用的 Splunk 查询语句、主机级别的命令以及 MITRE ATT&CK 映射。 最初是为日常工作中的 SOC 任务（ELK Stack、Wazuh、Splunk）而编写的。在此作为参考和作品集项目发布。 ## 为什么会有这些手册 L1 分析师在每次值班时都会面临同样的问题：告警触发，倒计时开始，却没有一个统一的地方说明*首先该检查什么*、*何时该升级*以及*不要做什么*。编写这些手册就是为了解决这个问题 —— 不是理论上的，而是您在压力下可以遵循的逐步操作程序。 设计原则： - **限时首要步骤** — 例如“5 分钟内完成识别”，以免分诊过程拖延 - **决策树** — 针对误报、真阳性或升级提供清晰的分支 - **可直接复制的查询** — 提供可适配您索引名称的 Splunk SPL、PowerShell 和 bash 代码块 - **明确的升级机制** — 包含 P1/P2/P3 标准以及*不要做什么*（例如，在勒索软件攻击期间不要关闭主机电源） ## 手册索引 | ID | 手册 | 典型优先级 | 主要 MITRE 技术 | |----|----------|------------------|------------------------| | [PB-01](./playbooks/PB-01-malware.md) | 恶意软件 | P1–P2 | T1059, T1055, T1547, T1071 | | [PB-02](./playbooks/PB-02-phishing.md) | 钓鱼攻击 | P1–P3 | T1566, T1204, T1078 | | [PB-03](./playbooks/PB-03-ransomware.md) | 勒索软件 | **P1** | T1486, T1490, T1489 | | [PB-04](./playbooks/PB-04-brute-force.md) | 暴力破解 | P1–P3 | T1110, T1078 | | [PB-05](./playbooks/PB-05-data-exfiltration.md) | 数据泄露 | P1–P2 | T1041, T1048, T1567 | | [PB-06](./playbooks/PB-06-ddos.md) | DDoS | P2–P3 | T1498, T1499 | | [PB-07](./playbooks/PB-07-web-app-attack.md) | Web 应用程序攻击 | P1–P2 | T1190, T1505.003 | | [PB-08](./playbooks/PB-08-insider-threat.md) | 内部威胁 | P1 | T1078, T1048, T1567 | | [PB-09](./playbooks/PB-09-lateral-movement.md) | 横向移动 | P1–P2 | T1021, T1550 | | [PB-10](./playbooks/PB-10-bec.md) | 商业电子邮件入侵 | **P1** | T1566, T1114, T1078 | | [PB-11](./playbooks/PB-11-email-investigation.md) | 电子邮件调查 | — | T1566 (辅助) | 包含描述的完整列表：[`playbooks/README.md`](./playbooks/README.md) ## 每份手册包含的内容 每份手册都遵循一致的结构： 1. **触发指标** — 导致告警或用户报告的原因 2. **背景说明** — 为什么此类事件的行为与其他事件不同（例如，密码喷射与暴力破解的区别） 3. **调查步骤** — SIEM 查询、日志来源、主机检查 4. **遏制** — 网络隔离、账户锁定、阻断 IOC 5. **升级标准** — 何时移交给 L2/L3 以及相应的优先级 6. **MITRE ATT&CK 覆盖范围** — 映射到该场景的技术 7. **工具与参考** — VirusTotal、URLScan、MXToolbox、供应商文档等。 在相关内容中，手册包含了**决策树** (ASCII) 以及针对 L1 常见错误的**警告提示** —— 例如将“VirusTotal 0 检出”视为安全，或者在提取内存转储之前关闭主机。 ## 如何使用此代码库 **作为值班分析师** 1. 打开与您的告警类型相匹配的手册。 2. 在您的 SIEM 中运行第 1 步的查询（将 `index=`、字段名称和主机名替换为您环境中的对应内容）。 3. 按照决策树将其分类为 FP（误报） / TP（真阳性） / 升级。 4. 仅在组织策略允许 L1 执行操作时才进行遏制；否则，记录调查结果并升级处理。 **作为检测工程师** - 使用 MITRE 映射来检查检测覆盖范围的盲区。 - 根据需要，将 Splunk SPL 移植为 KQL、ES|QL 或 Wazuh 规则。 - 将手册与 Sigma 规则配对使用（计划中的配套代码库）。 **作为招聘经理或审查者** - PB-03（勒索软件）和 PB-09（横向移动）展示了 P1 级别的思维和范围意识。 - PB-11（电子邮件调查）展示了核心的 L1 电子邮件取证能力。 - PB-04 区分了暴力破解和密码喷射 —— 这是一个常见的面试主题。 ## 环境假设 这些手册假设使用典型的中型 SOC 技术栈。请在您的部署环境中酌情调整名称和字段。 | 层级 | 手册中的示例 | |-------|------------------------| | **SIEM** | Splunk（主要），在有用的地方提及了 Elastic/KQL | | **日志来源** | Windows Event Log、Sysmon、O365/Azure AD 审计、代理、DNS、防火墙/netflow | | **EDR** | CrowdStrike、SentinelOne、Microsoft Defender for Endpoint | | **端点** | Windows 和 Linux | | **电子邮件** | Microsoft 365 / Exchange Online | 查询使用了诸如 `HOSTNAME`、`SUSPECT_IP` 和 `ATTACKER_IP` 之类的占位符。请在运行前替换它们。 ## 优先级图例 | 优先级 | 含义 | |----------|---------| | **P1** | 正在发生的入侵或迫在眉睫的业务影响 —— 立即升级（致电，而不仅仅是提交工单） | | **P2** | 已确认的恶意活动，已遏制或范围有限 —— 调查并升级至 L2 | | **P3** | 影响低、尝试被阻断，或经核实为误报 —— 记录并关闭 | ## 相关工作（计划中） | 代码库 | 重点 | |------------|--------| | **sigma-rules** | 针对常见攻击模式的检测规则（偏重 Linux） | | **incident-writeups** | 经过脱敏处理的事件调查报告 | ## 免责声明 本代码库仅用于**教育和作品集目的**。流程描述了常见的行业实践；它们不构成法律、合规或组织策略方面的建议。 在生产环境中使用任何遏制步骤之前： - 遵循您组织的事件响应计划和权限矩阵 - 对于涉及资金的内部威胁和 BEC 场景，需与法务/人力资源部门协调 - 未经适当授权，不得收集或监控员工数据 ## 作者 **Daniil Ivaschcenkov** — SOC 分析师 (L1/L2) 监控、告警分诊、手册开发、检测工程以及事件响应。 如果您发现错误或希望提出改进建议，请提交 issue 或 pull request。 ## 许可证 内容按“原样”提供以作参考。如果您重用或修改这些手册，请注明出处。

标签：AI合规, CISA项目, IP 地址批量处理, PB级数据处理, Wazuh, 安全剧本, 安全运维, 安全运营, 库, 应急响应, 应用安全, 扫描框架, 搜索语句（dork）, 配置错误, 防御加固