Peter-123-RAM/incident-response-end-to-end

端到端事件响应 场景 Microsoft Defender 警报 设备：FINANCE-LAPTOP-07 严重性：高 警报： 检测到 Trojan:Win32/RedLineStealer。 SHA256： a84f9f1d75e2d43dba4d9f7f11e60b72c4c7f80cf3d5a22d54e11fbe0191aa12 用户： finance.user 路径： C:\Users\finance.user\AppData\Roaming\updater.exe 出站连接： 185.225.69.44:443 概述 本项目展示了影响 Windows 工作站的模拟恶意软件入侵的完整事件响应生命周期。 调查遵循 NIST 事件响应流程： 1. 分类 2. 范围界定 3. 遏制 4. 根除 5. 恢复 6. 事后审查 该场景涉及 Microsoft Defender 警报，识别出财务部门笔记本电脑上存在 RedLine Stealer 感染。 目标是调查警报、确定影响范围、遏制威胁、根除恶意产物、恢复业务运营并记录经验教训。 展示技能 - 事件分类 - 威胁分析 - 恶意软件调查 - 证据保全 - 遏制 - 根除 - 恢复规划 - 高管报告 - 事后审查 参考工具 - Microsoft Defender - Windows Event Viewer - PowerShell - VirusTotal - Sysinternals Autoruns 结果 受感染的工作站已被隔离，恶意软件已移除，凭据已重置，持久化机制已被消除，系统已恢复至生产环境，且未发现横向移动的证据。

标签：AI合规, Conpot, DAST, DNS 反向解析, Windows安全, 安全运营, 库, 应急响应, 恶意软件分析, 扫描框架, 数字取证, 模拟器, 网络信息收集, 自动化脚本