AbrahamDiaco/incident-response-playbooks

# 🛡️ 事件响应 Playbooks [#-事件响应-playbooks](#-incident-response-playbooks) **作者：** Abraham Diaco | 网络安全专家 | CEH · ISO/IEC 27001 主任审核员 **状态：** 🟢 启用中 — 双语 (FR/EN) Playbooks，映射至 MITRE ATT&CK ## 关于 [#关于](#about) 本仓库是一个双语（法语/英语）事件响应 Playbooks 集合，旨在为常见 SOC 场景标准化检测、分诊、遏制、根除和恢复程序。每个 Playbook 都遵循相同的结构，并映射到相关的 [MITRE ATT&CK](https://attack.mitre.org) 技术。 其中三个 Playbooks 直接基于我实际操作的 SOC 实验室的真实检测指标——参见 [soc-lab-wazuh](https://github.com/AbrahamDiaco/soc-lab-wazuh)——在那里我部署了 Wazuh 并端到端模拟了每个场景（FIM、SSH 暴力破解以及自动化的 Active Response 遏制）。 ## Playbooks [#playbooks](#playbooks) | # | 场景 | MITRE ATT&CK | 严重性 | 来源 | |---|----------|---------------|----------|--------| | 1 | [FIM — 检测到可疑文件](playbooks/fim-suspicious-file) | T1565.001 | 中等 | SOC 实验室 (Wazuh) | | 2 | [SSH 暴力破解攻击](playbooks/ssh-bruteforce) | T1110.001 | 高 | SOC 实验室 (Wazuh) | | 3 | [Active Response — 自动化遏制](playbooks/active-response-containment) | T1110.001 | 验证 | SOC 实验室 (Wazuh) | | 4 | [钓鱼邮件](playbooks/phishing-email) | T1566.001 / T1566.002 | 中–高 | 通用 SOC 场景 | | 5 | [勒索软件 / 恶意软件检测与遏制](playbooks/ransomware-malware) | T1486 / T1059 | 严重 | 通用 SOC 场景 | | 6 | [数据外泄](playbooks/data-exfiltration) | T1041 / T1567 | 严重 | 通用 SOC 场景 | 每个 Playbook 文件夹包含： - `playbook-EN.md` — 英文版本 - `playbook-FR.md` — 法语版本 ## Playbook 结构 [#playbook-结构](#playbook-structure) 每个 Playbook 都遵循基于标准 IR 生命周期的相同 8 节格式： 1. **概述** — 什么是事件以及为何重要 2. **检测** — IoC、告警来源、检测时间目标 3. **分诊** — 需要回答的问题、严重性分类标准 4. **遏制** — 立即和短期行动 5. **根除** — 移除根本原因和持久化机制 6. **恢复** — 安全地恢复系统 7. **事件后** — 文档、根本原因分析、经验教训 8. **参考** — MITRE ATT&CK 链接、相关工具、相关 Playbooks 在 [`templates/`](templates) 中提供了一个空白的、可重用的版本来创建新的 Playbooks。 ## 仓库结构 [#仓库-结构](#repository-structure) ``` incident-response-playbooks/ ├── README.md ├── mitre-attack-mapping.md ├── templates/ │ ├── playbook-template-EN.md │ └── playbook-template-FR.md └── playbooks/ ├── fim-suspicious-file/ │ ├── playbook-EN.md │ └── playbook-FR.md ├── ssh-bruteforce/ │ ├── playbook-EN.md │ └── playbook-FR.md ├── active-response-containment/ │ ├── playbook-EN.md │ └── playbook-FR.md ├── phishing-email/ │ ├── playbook-EN.md │ └── playbook-FR.md ├── ransomware-malware/ │ ├── playbook-EN.md │ └── playbook-FR.md └── data-exfiltration/ ├── playbook-EN.md └── playbook-FR.md ``` ## MITRE ATT&CK 覆盖范围 [#mitre-attck-覆盖范围](#mitre-attck-coverage) 请参阅 [`mitre-attack-mapping.md`](mitre-attack-mapping.md) 获取完整的技术到 Playbook 的映射。 ## 相关项目 [#相关项目](#related-projects) - [soc-lab-wazuh](https://github.com/AbrahamDiaco/soc-lab-wazuh) — 测试和衡量本仓库中基于 Wazuh 场景的 SIEM/XDR 家庭实验室 - [network-security-labs](https://github.com/AbrahamDiaco/network-security-labs) — 网络侦察与流量分析练习 - [tryhackme-writeups](https://github.com/AbrahamDiaco/tryhackme-writeups) — SOC Level 1 路径的实践报告 ## 联系方式 [#联系方式](#contact) 📧 tanguy.diaco@gmail.com 🔗 [linkedin.com/in/abraham-diaco](http://www.linkedin.com/in/abraham-diaco) *教育/作品集项目 — Abraham Diaco · 网络安全专家 | CEH · ISO 27001 LA*

标签：Cloudflare, MITRE ATT&CK, Wazuh, 安全剧本, 安全运营, 库, 应急响应, 扫描框架, 防御加固