mohdsayeed72449-byte/IR-playbook

# 🛡️ 事件响应手册 — SOC Analyst 作品集      ## 📋 本项目涵盖内容 | 事件类型 | 严重程度 | 手册 | |---|---|---| | 恶意软件 / 勒索软件 | 🔴 P1 严重 | [查看 →](./playbook/01-malware-ransomware.md) | | 钓鱼攻击 / 凭据收集 | 🟠 P2 高危 | [查看 →](./playbook/02-phishing.md) | | 暴力破解 / 未授权登录 | 🟡 P3 中危 | [查看 →](./playbook/03-brute-force.md) | | 数据泄露 | 🔴 P1 严重 | [查看 →](./playbook/04-data-exfiltration.md) | ## 📂 仓库结构 ``` incident-response-playbook/ │ ├── playbook/ │ ├── 01-malware-ransomware.md # Detection + containment steps │ ├── 02-phishing.md # Email analysis + credential compromise handling │ ├── 03-brute-force.md # Login anomaly detection + account lockdown │ └── 04-data-exfiltration.md # Large transfer detection + DNS tunneling │ ├── splunk-queries/ │ ├── malware-detection.spl # SPL for malware hunting │ ├── phishing-detection.spl # SPL for phishing triage │ ├── brute-force-detection.spl # SPL for login attack detection │ └── exfiltration-detection.spl # SPL for data exfil hunting │ ├── templates/ │ ├── alert-notification.md # L1 → L2 escalation message template │ ├── post-incident-report.md # Client-facing summary template │ └── ioc-tracker.md # IOC logging table │ ├── docs/ │ ├── ir-lifecycle.md # PICERL model breakdown │ ├── escalation-matrix.md # P1–P4 escalation guide │ ├── tool-stack.md # Tools used at each IR phase │ └── event-ids-reference.md # Windows Event IDs for SOC analysts │ └── IR_Playbook_Sayeed.docx # Full formatted playbook (Word version) ``` ## 🔧 使用的工具 | 工具 | 用途 | |---|---| | **Splunk** | SIEM — 日志关联、SPL 查询、仪表板、告警调优 | | **CrowdStrike Falcon** | EDR — 端点隔离、进程树分析、RTR 命令 | | **Wireshark** | 数据包捕获 — C2 检测、DNS 隧道、流量分析 | | **Wazuh** | 基于主机的 IDS — 文件完整性监控、日志关联 | | **VirusTotal / AbuseIPDB** | IOC 信誉检查（IP、域名、文件哈希） | ## ⚡ SPL 快速参考 ``` # Brute force 后成功登录 index=windows (EventCode=4625 OR EventCode=4624) | stats count(eval(EventCode=4625)) as failures, count(eval(EventCode=4624)) as successes by src_ip, user | where failures > 10 AND successes >= 1 | sort -failures ``` ``` # Ransomware — 批量文件重命名检测 index=windows EventCode=4663 | stats count by host, user, ObjectName | where count > 100 | sort -count ``` ``` # Data exfiltration — 大量出站传输 index=network src_zone="internal" dest_zone="external" | stats sum(bytes_out) as total_out by src_ip, dest_ip | where total_out > 104857600 | eval total_out_MB = round(total_out/1048576, 2) | sort -total_out_MB ``` ## 🔄 IR 生命周期 (PICERL) ``` Preparation → Identification → Containment → Eradication → Recovery → Lessons Learned ↑ | └────────────────────── Continuous Improvement Loop ────────────────────┘ ``` | 阶段 | 目标时间 | |---|---| | 识别 | 告警后 < 15 分钟 | | 遏制 | < 30 分钟 | | 根除 | < 2 小时 | | 恢复 | < 4 小时 | | 经验教训 | 5 天内 | ## 📊 升级矩阵 | 优先级 | 场景 | 升级给 | |---|---|---| | 🔴 P1 | 确认的勒索软件、正在发生的入侵、APT 指标 | L2 + 经理 + 管理层（15 分钟） | | 🟠 P2 | 凭据泄露的网络钓鱼、成功的外部登录 | L2 + 经理（30 分钟） | | 🟡 P3 | 暴力破解（未成功）、网络钓鱼（未点击） | 仅在影响范围扩大时升级给 L2 | | 🟢 P4 | 误报、信息类告警 | 不升级 | ## 📄 下载完整手册 包含所有操作流程、表格和模板的完整格式化手册（Word 文档）可在此处获取： 👉 [`IR_Playbook_Sayeed.docx`](./IR_Playbook_Sayeed.docx) ## 🧑‍💻 关于 **Mohammed Sayeed** SOC Analyst | CEH 认证 (108/125) | Splunk | CrowdStrike Falcon | Wireshark 📍 卡拉布拉吉，卡纳塔克邦 → 目标海得拉巴 MSSP 岗位 本项目是我的 SOC Analyst 作品集的一部分。基于真实的 MSSP 事件模式、NIST SP 800-61 框架以及 Splunk 实践（包括 BOTS v3 数据集）构建。 *框架: NIST SP 800-61 Rev 2 | 版本: 1.0 | 最后更新: 2026 年 6 月*

标签：CrowdStrike, NIST, Wireshark, 句柄查看, 安全运营, 库, 应急响应, 扫描框架, 红队行动