tcpaccount/chariot

# Chariot — 事件响应准备框架 适用于 2-3 人团队的 DFIR 事件响应准备框架。提供 SOP、技术部署手册、部署脚本以及标准化交付物模板。 **目标环境：** 小型企业（单站点，<500 个终端，极少/无本地 IT 协助） **DFIR 服务器技术栈：** 运行 Velociraptor、Security Onion（3 个 tap 输入）、DFIR-IRIS 的 Proxmox 宿主机，并使用 pfSense 进行路由。 ## 结构 ``` sops/ — Standard Operating Procedures (numbered) playbooks/ — Technical reference guides with commands and queries templates/ — Fillable deliverable templates for field use scripts/ — PowerShell deployment and baselining scripts export/ — Generated PDFs (gitignored) ``` ## 文档 | 文档 | 描述 | |----------|-------------| | `sops/01-network-presence-establishment.md` | 建立网络存在的 SOP：侦察 → 初始行动 → 主体工作 → 基线建立 | | `playbooks/tool-deployment.md` | 技术手册：pfSense、Velociraptor agents、Security Onion、DFIR-IRIS、基线建立 | ## 模板 | 模板 | 描述 | |----------|-------------| | `templates/network-diagram.md` | 网段、基础设施、网关、tap 点 | | `templates/asset-enumeration.md` | 终端清单（包含 OS、服务、agent 状态） | | `templates/triage-results.md` | 按严重程度划分的分流结果，兼容 DFIR-IRIS | ## 脚本 | 脚本 | 描述 | |--------|-------------| | `scripts/deploy-velo-ad.ps1` | 通过 Active Directory GPO 部署 Velociraptor agents | | `scripts/deploy-velo-local.ps1` | 通过 PsExec 部署 Velociraptor agents（无 AD） | | `scripts/baseline-endpoints.ps1` | 在无 agent 的情况下建立终端基线 | ## 导出 PDF 需要安装 [Pandoc](https://pandoc.org/)。 ``` make all # Export all documents to PDF make sops # Export SOPs only make playbooks # Export playbooks only make templates # Export templates only ``` PDF 将生成在 `export/` 目录中。

标签：AI合规, Libemu, Security Onion, SOP与Playbook, Velociraptor, 应急响应准备, 数字取证与应急响应, 用户态调试, 运维部署脚本, 防御加固