zavetsec/CSFKit

GitHub: zavetsec/CSFKit

面向 SOC 蓝队的 NIST CSF 2.0 离线操作套件，提供成熟度自评、检测覆盖映射和实施参考指南，帮助团队以风险管理框架衡量和改进安全运营能力。

Stars: 1 | Forks: 0

### NIST CSF 2.0 for SOC — blue team 操作套件参考指南、成熟度自评和检测覆盖图——这一切都是为了，将 NIST Cybersecurity Framework 2.0 的六大功能应用于 Security Operations Center 的实际工作中，并使流程达到可重复性和适应性。 ![License](https://img.shields.io/badge/license-MIT-00ff88?style=flat-square) ![Standard](https://img.shields.io/badge/NIST_CSF-2.0-39a0ff?style=flat-square) ![Mapping](https://img.shields.io/badge/MITRE-ATT%26CK-ffb02e?style=flat-square) ![Deps](https://img.shields.io/badge/dependencies-zero-00ff88?style=flat-square) ![Stack](https://img.shields.io/badge/stack-agnostic-b18cff?style=flat-square)

## 简介 “NIST 齿轮”即 **NIST Cybersecurity Framework 2.0**：呈环形分布的六大功能（**Govern · Identify · Protect · Detect · Respond · Recover**），便于描述组织在网络风险方面的举措及其成熟度。 CSF 本身并不是一份配置清单，而是一种**风险管理的通用语言**。本仓库将其转化为 SOC 日常工作语言：针对每项功能具体该做什么、如何衡量成熟度、以及如何了解哪些检测 use-case 已覆盖，而哪些仍是缺口。整个套件是**技术栈无关**的（到处都指明了系统类别——如 SIEM, EDR/XDR, NDR, SOAR, IdP——而不是具体产品），**完全独立**（单个 HTML 文件，零外部依赖和网络请求），并且可以直接在浏览器中离线使用。 ## 组成 | # | 文件 | 说明 | 格式 | |---|------|---------|--------| | 01 | [`nist-csf-soc-framework.html`](nist-csf-soc-framework.html) | 六大功能的操作参考指南 | 文档 | | 02 | [`soc-maturity-self-assessment.html`](soc-maturity-self-assessment.html) | 交互式成熟度自评（Tier 1–4） | 工具 | | 03 | [`csf-coverage-map.html`](csf-coverage-map.html) | CSF × MITRE use-case 覆盖图 | 工作表 | 这些文档形成了一个整体：**参考指南**解释模型，**自评**展示你当前的成熟度位置，而**覆盖图**则说明在检测层面具体覆盖了什么。它们可以单独使用，但结合使用可以闭合 “理解 → 衡量 → 弥补缺口”的循环。 ### 01 · 操作参考指南 **`nist-csf-soc-framework.html`** 套件的核心。六大功能中的每一个都通过标准化的区块进行了解析： - 功能的实质及其在齿轮中的作用； - 带有代码的官方类别（`GV.OC`, `DE.CM`, `RS.MI` 等）； - **SOC 的责任区**——在哪些方面 SOC 是主导者，哪些是协作者，哪些是数据提供者； - 逐步实施的清单； - 功能指标（运营与管理指标）； - 从 Tier 1 (Partial) 到 Tier 4 (Adaptive) 的**成熟度阶梯**。此外还包括：齿轮可视化、包含四个 Tier 的成熟度模型、按阶段 0–4 划分的实施路线图、按受众分类的汇总指标目录、基于 RACI 逻辑的 SOC / IT / 业务边界矩阵，以及自评清单。 ### 02 · 成熟度自评 **`soc-maturity-self-assessment.html`** 一个由针对六大功能的 31 项陈述组成的交互式清单。标记那些**当前**正确的选项 ——不要包含“差不多”或“计划中”的情况： - 百分比、进度条和**每个功能的 Tier**都会实时重新计算； - 总体水平基于**“木桶效应”**（各项功能中的最低 Tier）计算——这比平均值更客观，因为成熟度受制于最薄弱的功能； - Detect 和 Respond 被标记为核心； - “复制摘要”按钮可将结果导出为报告文本； - 进度会在会话间本地保存在浏览器中。 **目标基准：** Detect / Respond 达到 Tier 3，其他功能达到 Tier 2–3，并在优先级方向上向 Adaptive 推进。与目标水平的差距就是待实施的 backlog。 ### 03 · 检测覆盖图 **`csf-coverage-map.html`** 工作表映射：37 个检测和响应 use-case 按 CSF 的功能和类别进行分解，包含数据源、工具类别以及基于 **MITRE ATT&CK** 的对手技术。每一项都有可编辑的状态： - 🟢 **Covered** — 检测有效且已经过测试 - 🟡 **Partial** — 部分覆盖 / 未优化 - 🔴 **Gap** — 存在缺口，无检测 - ⚪ **N/A** — 不适用于当前基础设施汇总计数器和彩色覆盖条会实时更新，并支持导出为 CSV。填写后的**Detect 和 Respond 的 Gap 项**构成了优先的 detection engineering backlog。use-case 集合是一个起点，可根据自身的威胁模型和相关团伙进行扩展。 ## 使用方法 ``` 1. Прочитать референс (01) — понять модель и зоны ответственности SOC. 2. Пройти самооценку (02) — зафиксировать текущий и целевой Tier по функциям. 3. Заполнить карту покрытия (03) — отметить статусы, выявить Gap'ы. 4. Разрывы зрелости + Gap'ы детектов = backlog внедрения. 5. Двигаться по дорожной карте (фазы 0–4 в референсе). 6. Пересматривать самооценку и покрытие раз в квартал. ``` 在浏览器中双击文件或通过 GitHub Pages 打开。不需要互联网：所有内容都在 HTML 内部，没有任何遥测数据，工具数据仅本地保存在你的浏览器中。 ## 设计与原则 - **Zero dependencies** — 每个文件都是自包含的，没有 CDN、脚本和网络调用。 - **Offline-first** — 无需互联网即可工作，不向外部发送任何数据。 - **Stack-agnostic** — 关注工具类别而非具体产品；请代入你自己的技术栈。 - **Privacy by default** — 工具状态存储在 `localStorage` 中，而不是服务器上。 - 统一的暗色视觉风格、等宽排版、支持从浏览器打印为 PDF。 ## 许可证 [MIT](LICENSE) — 可以自由使用、改编和传播，包括在商业和企业环境中。欢迎提及出处，但非强制要求。

**ZavetSec** · blue team 工具 · zero dependencies · offline-first _{NIST CSF — NIST 的框架；MITRE ATT&CK — MITRE 的商标。本仓库不附属于 NIST 或 MITRE。}

标签：NIST CSF, 后端开发, 多模态安全, 安全管理, 安全运营, 成熟度评估, 扫描框架, 数据可视化, 检测覆盖