maccoderre/incident-response-healthsecure

事件响应：HealthSecure Systems 违规事件 工具：Windows Event Logs、Zeek、Snort IDS、EDR Telemetry 框架：NIST SP 800-61 类型：事件响应 | 威胁分析 | 数字取证 概述 为一家面临实际安全违规事件的模拟医疗软件公司完成了全面的事件响应调查。攻击始于针对财务部员工的钓鱼邮件，随后升级为试图向薪资数据库和专有源代码发起的横向移动。 该项目是作为 Flatiron School 网络安全工程课程的一部分完成的。 事件摘要 详情 描述 初始途径 针对财务部的钓鱼邮件 Payload 混淆的 PowerShell 脚本 利用的漏洞 已注销前员工的缓存凭据 攻击者目标 向薪资数据库和开发服务器进行横向移动 面临风险的数据 薪资记录和专有源代码 攻击时间线 钓鱼邮件送达 — 财务部员工接收并打开了恶意邮件 执行 PowerShell Payload — 混淆脚本在受害者工作站上运行 凭据收集 — 攻击者利用了前员工账户的缓存凭据 尝试横向移动 — 攻击者向薪资数据库和开发服务器移动 检测与遏制 — 通过日志分析和 EDR 警报识别出可疑活动 调查方法 分析的证据来源 Windows Event Logs — 身份验证事件、进程创建、PowerShell 执行 Zeek 网络流量 — 连接日志、DNS 查询、数据泄露指标 Snort IDS 警报 — 基于签名的已知攻击模式检测 EDR Telemetry — 端点行为分析和进程谱系 入侵指标 来自财务部工作站的混淆 PowerShell 执行 使用已注销账户凭据的身份验证事件 针对薪资和开发服务器的异常横向连接尝试 异常的出站网络连接 事件响应策略 (NIST SP 800-61) 1. 🔍 检测与分析 通过日志关联重建完整的攻击时间线 识别所有受影响的系统和被攻陷的账户 2. 🛑 遏制 将受影响的工作站与网络隔离 立即禁用被攻陷的遗留凭据 阻断攻击者通往敏感服务器的网络路径 3. 🧹 根除 移除 PowerShell Payload 及相关工件 审核所有活动账户是否存在类似漏洞 强制在受影响的系统上进行凭据轮换 4. 🔄 恢复 从干净的备份中恢复系统 验证薪资数据库和源代码的完整性 监控是否有再次感染的迹象 5. 📋 经验教训 自动化 AD 离职流程以防止出现孤儿账户 在所有用户账户中强制执行 MFA 部署 SIEM 以进行集中式日志监控 扩大 Linux EDR 覆盖范围 针对防范钓鱼的安全意识培训 交付成果 事件响应报告 — 为高管利益相关者编写的包含调查、发现和补救步骤的完整技术文档 IR 推介演示 — 涵盖违规事件、响应策略和长期安全改进的专业演示 演示 📹 观看 IR 推介演示 https://www.youtube.com/watch?v=n7Ex_VBc-0w 📊 查看项目概述 https://www.linkedin.com/in/mac-coderre-562513214/overlay/Project/387441236/treasury/?profileId=ACoAADYuZFoBLN7msBREN-rSLg4H7qEaxXCrXq0 展示的技能 事件响应 威胁分析 数字取证 日志分析 Windows Event Logs Zeek Snort IDS EDR NIST SP 800-61 PowerShell 分析 利益相关者沟通 SIEM

标签：AI合规, PE 加载器, 域环境安全, 子域枚举, 安全报告, 安全运营, 库, 应急响应, 扫描框架, 数字取证, 自动化脚本