mrwilliams2282-dot/cybersecurity-incident-response-and-triage

# Capgemini 毕业项目：AI 驱动的银行安全漏洞模拟 ## 📋 项目概述 本仓库记录了我对企业级事件响应 (IR) 和取证分诊模拟的动手实践，该项目模拟了一次严重的银行安全漏洞事件。  ### 🎯 目标与核心关注点 本次练习的主要重点是验证事件响应准备情况，在高压约束下执行标准操作程序 (SOP)，并利用先进的 AI 工具链来最小化检测时间 (TTD) 并加速修复。 * **行业领域：** 金融部门 / 银行基础设施防御 * **操作框架：** NIST 事件响应生命周期 (SP 800-61 r2) * **展示的核心能力：** 实时日志取证、数据关联、prompt 工程、威胁分诊以及高管利益相关者风险沟通。 ## 🔍 阶段 1：证据收集与方法论 本阶段侧重于从生产环境中收集分散的数字取证痕迹，以追踪银行应用程序受损的入口点和范围。  ### 🛠️ 分析的数字取证痕迹 * **数据库提取：** 验证合法客户访问配置和账户创建指标的基准。 * **应用程序访问日志：** 用于检测暴力破解模式、会话劫持或自动化脚本的应用程序活动流量日志。 ### 🤖 生成式 AI 分诊策略 我们的操作指令并非手动对数千行数据进行排序，而是整合生成式 AI 工具，以立即识别受影响的银行资料，并为银行利益相关者和副总裁编制战略简报。 ## 👥 阶段 2：协同“作战室”执行 安全是一项需要团队整合的运动。本阶段记录了安全运营中心 (SOC) 团队的活跃部署情况，我们的事件响应小组在此动态地对实时漏洞威胁向量进行了分诊。  ### ⚙️ 跨职能工作流 * **团队主导分析：** 在敏捷矩阵环境中进行协作，快速分配日志分析块，按时间顺序跟踪恶意会话特征。 * **主动平台整合：** 利用团队环境中显示的企业 GenAI Web 界面，上传结构化的 CSV 输入、测试验证规则，并在严格的时间限制下隔离异常情况。 * **战略对齐：** 保持严格的操作纪律，确保所有发现均与可操作的业务影响直接相关，以保护银行的核心资产。 ## 🕵️‍♂️ 阶段 3：威胁狩猎逻辑与日志 Schema 为了完全描绘出攻击者的足迹，我们的团队拆解了特定的应用程序日志格式，并映射出了明确的行为入侵指标。  ### 📊 日志文件 Schema 与数据属性 支持团队提供的应用程序日志使用了以下结构化的 schema 格式： `YYYY-MM-DD HH:MM:SS - userid - LOGLEVEL processId transactionId SystemName Action Completion ExecutionTime` ### 🔍 行为入侵指标 我们将特定的用户操作进行了分类，以区分正常的用户会话与高风险异常： * `LOGIN`：初始访问点。 * `PASSWORD_RECOVERY`：关键转折点，指示潜在的账户接管或凭证劫持。 * `FUNDS_TRANSFER`：代表直接财务损失的数据窃取向量。 * `VIEW_CARD_INFO`：针对未脱敏的客户 PII/PCI 数据的暴露向量。 ### ⚙️ 威胁狩猎解析逻辑 威胁狩猎过滤标准要求按 **Userid、日期和时间** 对所有应用程序记录进行排序，然后执行逻辑规则，以隔离出那些在执行 `PASSWORD_RECOVERY` 之后立即执行了 `FUNDS_TRANSFER` 或 `VIEW_CARD_INFO` 的账户。在密码重置*之前*发生的所有标准交易均被抑制，以清除操作噪音。 ## 🪵 阶段 4：原始日志分诊与行为分析 以下是漏洞窗口期间进行分诊的活动生产日志的摘录。我们的重点是准确定位账户从正常使用转变为被利用状态的确切时刻。  ### 📋 示例日志流数据 ``` 04/12/26 09:32:29 PM quenoliv INFO 9151 Z6806-I4139-H2883-N2494 SilverwayBankingSystemLog LOGIN 04/12/26 04:26:56 AM navenaga INFO 9381 T1417-U5807-L2716-T6086 SilverwayBankingSystemLog PASSWORD_RECOVERY 04/12/26 07:50:18 AM navenaga INFO 9174 V6143-W1077-R7625-W2682 SilverwayBankingSystemLog SETTINGS 04/12/26 10:26:33 AM yvonoliv DEBUG 9101 H9449-H3433-G4827-B6321 SilverwayBankingSystemLog FUNDS_TRANSFER 04/13/26 09:39:16 AM madeunde DEBUG 9104 J9852-K8961-Q7932-D3437 SilverwayBankingSystemLog VIEW_CARD_INFO 04/16/26 01:47:58 AM dowslopt INFO 9256 K1748-B2772-R1532-L3618 SilverwayBankingSystemLog PAYMENT_MADE ``` ### 🎯 获取的取证洞察 1. **凭证覆盖：** 像 `navenaga` 这样的账户显示在瞬间执行了 `PASSWORD_RECOVERY`，紧接着进行了本地账户 `SETTINGS` 修改。 2. **可疑窗口：** 目标账户 `dowslopt` 在异常的非营业时间 (01:47:58 AM) 执行了高风险金融事件 (`PAYMENT_MADE`)，这表明极大概率发生了会话劫持。 ## 🗄️ 阶段 5：数据库基准与跨数据关联 为了衡量暴露的全面爆炸半径，应用程序日志标志被直接与客户数据库后端进行了交叉比对。  ### 📊 数据库属性映射 数据库基础架构在几个字段下组织了关键的客户记录： * **userid / email：** 用于将应用程序活动映射回真实身份配置文件的主键。 * **credit_card / card_type：** 掩码的信用卡，指示在执行 `VIEW_CARD_INFO` 命令期间暴露的目标持卡人环境。 * **token_id：** 受到仔细审查的活动身份验证 token，用于确定是否发生了系统性的会话复制。 ### 🤖 GenAI 辅助分诊（M365 Copilot 整合） 利用集成的 **M365 Copilot** 以及我们的数据处理器，我们将数据汇编自动化，以立即将特定的日志时间戳链接到活动的客户 token 条目，从而将目标分析画像的速度提高了约 80%。 ## 🤖 阶段 6：Prompt 工程架构 为了确保零模型幻觉并获得一致的结构化输出，我们的团队采用了正式的 Prompt 工程设计准则，而不是对话式的输入查询。  ### ⚙️ 我们生产环境 Prompt 的四大支柱 发送给 LLM 核心的每个威胁狩猎查询都嵌入了四个基础参数： 1. **Instruction：** 分配的确切任务（*“过滤数据库记录以查找匹配的受损用户账户。”*）。 2. **Context：** 结构护栏（*“作为审查 2026 年第二季度金融基础架构漏洞数据的高级 SOC 分析师行动。”*）。 3. **Input Data：** 直接附加到 prompt 上下文窗口中的干净的原始日志片段或 schema 文本块。 4. **Output Indicator：** 要求的严格布局格式（*“以 Markdown 表格的形式返回格式化的结果。”*）。 ## 🎯 核心能力与关键要点 这个毕业项目直接验证了现代融合基础设施防御和以安全为中心的 IT 环境所需的高需求技能。  * **AI 工具链掌握：** 具备使用企业 AI 引擎安全地解析海量基础架构数据流的实用能力。 * **攻击路径识别：** 精通映射用户操作（`PASSWORD_RECOVERY` -> `FUNDS_TRANSFER`）以确认恶意意图。 * **战略风险表达：** 将深度的技术异常转化为专为 C-suite 决策者优化的高管摘要。 ## 🏁 项目结论与致谢 这个 Capgemini 毕业项目以一次全面的技术汇报和小组演示结束，汇报对象包括行业导师、安全工程师和同行从业者。  在整个练习中掌握的企业级工作流，弥合了技术威胁解析与防御现代基础设施环境所需的适应性沟通技能之间的差距。

标签：威胁分诊, 安全事件响应, 应急演练, 数字取证, 生成式AI, 索引, 自动化脚本, 防御加固