SecurityWithAdarsh/SOC-Lab-Playbooks

# 🛡️ SOC-Lab-Playbooks [](https://attack.mitre.org/) [](./splunk-queries/) [](./sigma-rules/) [](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final) [](./LICENSE) ## 📋 概述 本仓库包含一系列结构化的 **SOC 事件响应 Playbook**，均在与受控实验室环境中开发并测试。每个 playbook 都遵循 **NIST SP 800-61 Rev. 2** 事件响应生命周期，并将检测结果映射到 **MITRE ATT&CK 框架**。 专为使用 **Splunk SIEM**、**Sysmon**、**Sigma 规则**和 **Windows 事件日志**模拟真实场景下的 SOC 分析师工作流而构建。 ## 📁 仓库结构 ``` SOC-Lab-Playbooks/ │ ├── playbooks/ # IR Playbooks (NIST 800-61 aligned) │ ├── phishing-investigation/ │ ├── ransomware-response/ │ ├── brute-force-detection/ │ ├── lateral-movement/ │ └── data-exfiltration/ │ ├── splunk-queries/ # SPL queries by category ├── sigma-rules/ # Sigma detection rules (YAML) ├── dashboards/ # Splunk dashboard XML └── scripts/ # Python automation scripts ``` ## 🎯 Playbook 索引 | # | Playbook | MITRE 战术 | 严重程度 | 状态 | |---|----------|-------------|----------|--------| | 01 | [钓鱼邮件调查](./playbooks/phishing-investigation/) | 初始访问 (TA0001) | 🔴 高 | ✅ 完成 | | 02 | [勒索软件检测与响应](./playbooks/ransomware-response/) | 影响 (TA0040) | 🔴 严重 | ✅ 完成 | | 03 | [SSH/RDP 暴力破解检测](./playbooks/brute-force-detection/) | 凭据访问 (TA0006) | 🟠 中 | ✅ 完成 | | 04 | [横向移动检测](./playbooks/lateral-movement/) | 横向移动 (TA0008) | 🔴 高 | ✅ 完成 | | 05 | [数据泄露调查](./playbooks/data-exfiltration/) | 数据外传 (TA0010) | 🔴 高 | ✅ 完成 | ## 🔧 工具与技术 | 工具 | 用途 | |------|---------| | **Splunk Enterprise** | SIEM — 日志摄取、SPL 查询、告警 | | **Sysmon** | Windows 端点遥测 | | **Sigma** | 供应商无关检测规则 | | **Wireshark** | 网络数据包分析 | | **Windows 事件日志** | 身份验证、进程创建、网络事件 | | **VirusTotal API** | IOC 丰富 | | **MITRE ATT&CK Navigator** | TTP 映射 | ## 📊 MITRE ATT&CK 覆盖范围 ``` Initial Access ████████░░ 80% TA0001 Execution ██████░░░░ 60% TA0002 Persistence ███████░░░ 70% TA0003 Credential Access ████████░░ 80% TA0006 Lateral Movement ████████░░ 80% TA0008 Exfiltration ███████░░░ 70% TA0010 Impact ████████░░ 80% TA0040 ``` ## 📖 如何使用这些 Playbook 1. 在您的 SIEM 中**触发告警** → 识别事件类型 2. **导航**到匹配的 playbook 文件夹 3. **遵循** 检测 → 分流 → 遏制 → 根除 → 恢复 的步骤 4. 针对您的 Splunk 实例**运行**提供的 SPL 查询 5. 在您的 SIEM 中**部署** Sigma 规则以进行持续检测 6. 使用提供的 IR 报告模板**记录**调查结果 ## 🚀 快速开始 — SPL 查询示例 ``` # 检测 SSH Brute Force（5分钟内来自同一来源的失败登录超过5次） index=linux_logs sourcetype=syslog "Failed password" | stats count by src_ip, user, _time span=5m | where count > 5 | sort -count | table _time, src_ip, user, count ``` ## 📝 IR 生命周期 (NIST SP 800-61 Rev. 2) ``` 1. PREPARATION → Tools, runbooks, team roles 2. DETECTION → SIEM alerts, IOCs, anomalies 3. ANALYSIS → Triage, severity, scope 4. CONTAINMENT → Isolate, block, preserve evidence 5. ERADICATION → Remove threat, patch vectors 6. RECOVERY → Restore, monitor, validate 7. POST-INCIDENT → Lessons learned, report ``` ## 🤝 联系方式 **Adarsh Singh** — DevSecOps 工程师 | SOC 分析师 | 渗透测试人员 [](https://linkedin.com/in/adarsh-singh-cybersecurity/) [](https://tryhackme.com) [](https://github.com/SecurityWithAdarsh)

标签：AMSI绕过, PE 加载器, Python自动化, Sigma规则, 威胁检测, 安全运营中心, 库, 应急响应, 目标导入, 红队行动, 网络映射, 逆向工具