LiRiX2/soc-playbooks

# SOC 操作手册 精心整理的安全运营文档集合——包含事件响应 SOP、管理简报和流程图。每份文档旨在反映真实的 SOC 实践：在需要可操作的地方保持操作性，在需要为领导层决策提供信息的地方保持战略性。 ## 为什么会有这个项目 工具展示的是构建能力；文档展示的是运营能力。本仓库展示了检测如何转化为可防御、可重复的响应——从分析师一线岗位到事件所迫的管理决策。 ## 目录 ### 钓鱼攻击 | ID | 文档 | 目标受众 | 描述 | |---|---|---|---| | SOP-IR-001 | [钓鱼邮件分类与初步响应](sops/SOP-IR-001_Phishing-Email-Triage.md) | SOC / IR | 用于分类和响应已报告钓鱼邮件的操作手册，包含流程图。 | | BRIEF-IR-001 | [钓鱼攻击——业务影响与管理层响应](briefs/BRIEF-IR-001_Phishing-Business-Impact.md) | 领导层 / IR | 钓鱼攻击活动对企业意味着什么，管理层负责哪些决策，以及一个连接技术层和管理层的具体示例。 | 钓鱼攻击文档围绕 **[EmailAnalyzer](https://github.com/LiRiX2/EmailAnalyzer)** 构建，这是一个用于电子邮件 header、URL 和附件分析的 Python 工具——在分类 SOP 中用作核心检测步骤。 ## 结构 ``` soc-playbooks/ ├── sops/ Operational runbooks (step-by-step procedures) ├── briefs/ Management-facing impact & response documents └── diagrams/ Process and decision-flow diagrams ``` ## 引用的框架 这些文档映射到 SOC 通常接受审计的标准：NIST SP 800-61（事件处理）、NIST CSF、ISO/IEC 27001:2022 和 MITRE ATT&CK。 ## 作者 Tobias Kastenhuber ([LiRiX2](https://github.com/LiRiX2))

标签：安全文档, 安全运营, 库, 应急响应, 扫描框架, 标准作业程序, 逆向工具, 防御加固