spinfosecurity/ir-playbooks

     # 事件响应 Playbooks 本仓库包含针对常见攻击场景的结构化事件响应 playbooks。每个 playbook 都遵循 NIST SP 800-61 事件响应生命周期，其格式专供 SOC 分析师、IR 团队和安全工程师直接使用。 ## 本项目存在的原因 大多数 IR 文档要么过于宽泛而缺乏可操作性，要么被锁定在专有工具中。这些 playbooks 旨在提供实用性、免费且结构化的内容——将检测信号、遏制步骤、证据收集、上报路径和事后审查集中于一处。 ## 展示的技能 - 事件响应方法论 (NIST SP 800-61) - 检测信号识别与告警分发 - 遏制、根除和恢复计划 - 证据收集与监管链文档记录 - 针对各场景的 MITRE ATT&CK 技术映射 - 高管沟通与事后报告 ## 包含的 Playbooks | Playbook | 场景 | 涵盖的 MITRE 战术 | |---|---|---| | [勒索软件](./ransomware/) | 勒索软件感染与传播 | Execution, Persistence, Lateral Movement, Impact | | [网络钓鱼](./phishing/) | 包含凭证收集的网络钓鱼邮件 | Initial Access, Credential Access, Collection | | [账户接管](./account-takeover/) | 通过泄露的凭证进行未经授权的访问 | Initial Access, Persistence, Defense Evasion | ## Playbook 结构 每个 playbook 包含： ``` /scenario-name/ README.md — Overview, scope, and how to use playbook.md — Full step-by-step IR playbook flowchart.md — Mermaid decision flowchart after-action.md — After-action report template ``` ## IR 生命周期 (NIST SP 800-61) ``` flowchart LR A[Preparation] --> B[Detection and Analysis] B --> C[Containment] C --> D[Eradication] D --> E[Recovery] E --> F[Post-Incident Review] F --> A ``` ## 如何使用 1. 识别事件场景 2. 打开匹配的 playbook 文件夹 3. 按顺序执行 `playbook.md` 中的步骤 4. 在事件关闭后填写 `after-action.md` 5. 使用 `flowchart.md` 进行桌面推演或团队培训 ## 计划新增内容 - 商业电子邮件入侵 (BEC) playbook - 内部威胁 playbook - 云账户泄露 (AWS/Azure) playbook ## 许可证 MIT 许可证 — 可免费使用、改编和分享，但需注明出处。

标签：NIST 800-61, PB级数据处理, 勒索软件, 安全运维, 安全运营中心(SOC), 库, 应急响应, 防御加固