Fnyadzua/soc-incident-response-phishing

# 🚨 SOC 事件响应 - 钓鱼与 DNS 隧道 ## 📊 概述 针对一次复杂鱼叉式钓鱼活动的全面事件调查，该活动成功入侵了 CEO 的工作站。攻击手段包括恶意 .LNK 文件、PowerShell 反向 shell，以及利用 DNS 隧道进行数据外泄。 ## ⏱️ 关键指标 - **驻留时间：** 12 分钟 - **真阳性率：** 95% - **平均解决时间：** 5 分 30 秒 - **告警总数：** 11 个已关闭 ## 🔗 MITRE ATT&CK 映射 | 阶段 | 技术 | 描述 | |-------|-----------|-------------| | 初始访问 | T1566 | 带有恶意附件的鱼叉式钓鱼邮件 | | 执行 | T1059 | PowerShell 执行反向 shell | | 命令与控制 | T1071 | 通过 ngrok.io 进行 DNS 隧道通信 | | 数据外泄 | T1048 | 通过 DNS 查询进行数据外泄 | ## 🔍 使用的 Splunk 查询 ``` # 识别初始 PowerShell 执行 index=powershell.exe Invoke-WebRequest downloading powercat.ps1 # 通过 ngrok 确认 C2 beaconing index=ngrok.io Outbound connections # 识别基于 DNS 的 exfiltration index=nslookup.exe Abnormally high volume of DNS lookups ```

标签：AI合规, DNS隧道, IP 地址批量处理, Object Callbacks, 事件调查, 安全运营, 库, 应急响应, 扫描框架, 网络钓鱼