adnankokni/incident-response-playbook

GitHub: adnankokni/incident-response-playbook

面向 SOC 分析师的事件响应手册集合,基于 NIST IR 框架和 MITRE ATT&CK 映射,提供五类常见攻击场景的标准化处置流程与配套模板脚本。

Stars: 0 | Forks: 0

# 🔥 事件响应手册 — SOC 分析师作品集 ![状态](https://img.shields.io/badge/Status-Active-brightgreen?style=flat-square) ![框架](https://img.shields.io/badge/Framework-NIST_IR-blue?style=flat-square) ![MITRE](https://img.shields.io/badge/MITRE-ATT%26CK_Mapped-red?style=flat-square) ![许可证](https://img.shields.io/badge/License-MIT-lightgrey?style=flat-square) 专为 SOC 分析师实践和作品集展示打造的专业事件响应手册集合。 涵盖 5 个真实攻击场景,遵循 **NIST SP 800-61** 事件响应框架并进行了 MITRE ATT&CK 映射。 ## 🎯 本项目涵盖的内容 本仓库包含分析人员在真实安全事件中会遵循的循序渐进的事件响应程序,包括检测命令、遏制步骤、根除程序以及事后文档模板。 ## 📚 手册 | 手册 | 严重程度 | MITRE 技术 | 状态 | |----------|---------|-----------------|--------| | [🔴 勒索软件](playbooks/ransomware.md) | 严重 | T1486, T1490 | ✅ 完成 | | [🟠 钓鱼攻击](playbooks/phishing.md) | 高危 | T1566, T1078 | ✅ 完成 | | [🟡 暴力破解](playbooks/brute-force.md) | 中危 | T1110 | ✅ 完成 | | [🟣 恶意软件感染](playbooks/malware.md) | 高危 | T1059, T1055, T1547 | ✅ 完成 | | [🔵 数据渗出](playbooks/data-exfiltration.md) | 严重 | T1041, T1048 | ✅ 完成 | ## 🏗️ 使用的事件响应框架 — NIST SP 800-61 ``` ┌─────────────────────────────────────────────────────────────┐ │ INCIDENT RESPONSE LIFECYCLE │ │ │ │ 1. PREPARE → 2. DETECT → 3. CONTAIN → 4. ERADICATE │ │ ↑ ↓ │ │ 6. LESSONS 5. RECOVER │ │ LEARNED │ └─────────────────────────────────────────────────────────────┘ ``` ## 📁 仓库结构 ``` incident-response-playbook/ ├── playbooks/ # IR playbook per attack type │ ├── ransomware.md │ ├── phishing.md │ ├── brute-force.md │ ├── malware.md │ └── data-exfiltration.md ├── templates/ # Reusable IR documentation │ ├── incident-report-template.md │ └── ioc-tracking-template.md ├── scripts/ # IR automation scripts │ ├── collect-iocs.sh │ └── isolate-host.sh ├── docs/ # Supporting documentation │ └── ir-lifecycle.md └── README.md ``` ## ⚙️ 引用的工具与技术 | 工具 | 用途 | |------|---------| | Wazuh SIEM | 告警检测与日志分析 | | Wireshark / tcpdump | 网络流量捕获 | | iptables / UFW | 用于遏制的主机型防火墙 | | fail2ban | 自动化暴力破解拦截 | | ClamAV | 开源恶意软件扫描 | | VirusTotal | 文件哈希与 URL 信誉度检测 | | Microsoft Defender | Windows EDR | ## 🧠 展示的技能 - NIST SP 800-61 事件响应框架 - MITRE ATT&CK 技术映射 - 日志分析与 IOC 提取 - 主机隔离与网络遏制 - 恶意软件分类与分析 - 事后报告与文档记录 - 用于事件响应自动化的 Bash 脚本 - 电子邮件头分析与钓鱼攻击调查 ## 📋 包含的模板 - **事件报告模板** — 完整的事后报告结构 - **IOC 跟踪表** — 结构化的 IOC 文档 - **事件响应自动化脚本** — 用于快速分类的 Bash 脚本 ## 📄 参考资料 - [NIST SP 800-61 Rev 2](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final) - [MITRE ATT&CK 框架](https://attack.mitre.org) - [SANS 事件响应流程](https://www.sans.org/white-papers/incident-handlers-handbook/) *作为我的 SOC 分析师作品集的一部分而构建。欢迎反馈与贡献。*
标签:NIST标准, Object Callbacks, SOC分析, 勒索软件, 安全文档, 安全运营, 库, 应急响应, 应用安全, 扫描框架, 网络钓鱼, 防御加固