dmtaylorjr/Incident-Response-Playbooks

# 事件响应剧本 作为网络安全家庭实验室作品集的一部分，构建的一系列专业级事件响应剧本和案例研究。每个剧本都遵循 **NIST SP 800-61 Rev. 2** 事件处理框架，并包含一个与特定威胁场景和行业领域紧密相关的真实模拟案例研究。 ## 剧本 | # | 剧本 | 威胁类型 | 行业 | 监管框架 | |---|----------|-------------|----------|----------------------| | 01 | [钓鱼 / 凭据窃取](#01--phishing--credential-theft) | 鱼叉式钓鱼、会话劫持 | 国防承包商 | DFARS 252.204-7012, CMMC | | 02 | [恶意软件 / 勒索软件前兆](#02--malware--ransomware-precursor) | 宏释放器、Cobalt Strike Beacon | 医疗保健 | HIPAA 违规通知规则 | | 03 | [内部威胁 / 数据泄露](#03--insider-threat--data-exfiltration) | 辞职前数据窃取、DLP 规避 | 金融服务 | SEC Reg S-P, FINRA Rule 4370 | ## 01 — 钓鱼 / 凭据窃取 **文档：** `playbooks/01_Phishing_IR_Playbook_and_Case_Study.pdf` **虚构组织：** Meridian Defense Systems, LLC（国防承包商） **案例研究：** Operation Credential Harvest (INC-2024-0047) ### 场景 一封冒充 MDS IT 服务台的鱼叉式钓鱼邮件发送了一个托管在仿冒域名上的凭据收集页面。受害者输入凭据后，在 47 秒内引发了来自东欧 IP 的会话劫持。自定义的 Wazuh 不可能旅行（异常异地登录）检测规则检测到了该异常登录，并且在钓鱼邮件发送后的 23 分钟内锁定了该账户。 ### 涵盖的关键技术概念 - 电子邮件头分析（SPF、DKIM、DMARC 失败） - 凭据收集页面剖析及 TLS 证书滥用 - 用于不可能旅行的自定义 Wazuh 检测规则（Rule 100201） - Azure AD 会话撤销和账户锁定程序 - DFARS 252.204-7012 强制性的 72 小时违规报告 - 针对国防工业基础 (DIB) 组织的 CMMC 事件处理义务 ### 检测规则亮点 ``` 18127 ^(10\.|172\.(1[6-9]|2[0-9]|3[01])\.|192\.168\.) 3 Impossible travel: O365 login from non-RFC1918 IP within 5 min of domestic session authentication_success,anomaly,credential_theft, ``` ## 02 — 恶意软件 / 勒索软件前兆 **文档：** `playbooks/02_Malware_IR_Playbook_and_Case_Study.pdf` **虚构组织：** Lakewood Regional Medical Center **案例研究：** Operation Phantom Script (INC-2024-0091) ### 场景 一个启用宏的 Excel 附件触发了一个两阶段攻击：VBA 宏释放了一个 PowerShell stager，该 stager 从一个受损的 WordPress 重定向器中拉取了 Cobalt Strike Beacon。该 beacon 建立了 C2 通道，在内存中执行了 Mimikatz 变体，并开始映射网络共享 —— 在 EDR 网络隔离切断连接之前，它访问了一台文件服务器并加密了 14 个文件。Wazuh 在 4 分钟内检测到了编码的 PowerShell 执行。 ### 涵盖的关键技术概念 - 两阶段恶意软件传播：宏释放器 → 二阶段盲目下载 - Cobalt Strike Beacon malleable C2 配置文件和域前置 - 进程注入至 svchost.exe - PowerShell 编码命令检测（MITRE T1059.001） - 勒索软件文件扩展名检测（MITRE T1486） - HIPAA 四因素违规风险评估 - HHS 关于勒索软件推定违规的指南（2016） ### 检测规则亮点 ``` 60612 (?i)-e(nc|ncodedcommand)\s+[A-Za-z0-9+/]{20,} PowerShell encoded command execution detected — possible stager or obfuscation attack,execution,T1059.001, 60103 \.(locked|encrypted|enc|crypt)$ Ransomware indicator: file renamed with known encryption extension attack,impact,ransomware,T1486, ``` ## 03 — 内部威胁 / 数据泄露 **文档：** `playbooks/03_Insider_Threat_IR_Playbook_and_Case_Study.pdf` **虚构组织：** Crestline Capital Advisors, LLC（注册投资顾问） **案例研究：** Operation Silent Exit (INC-2024-0118) ### 场景 一名高级投资组合分析师在自愿离职前的 15 天内泄露了 847 个文件，将专有的股票因子模型和客户联系数据转移到个人云存储和 USB 驱动器中。该活动在实时状态下未被检测到 —— 最终是每周的 DLP 摘要报告发现了该异常。UEBA 回顾性分析显示，其偏离程度比该主体过去 90 天的基线高出 1,240% 以上。法务部门协调了诉讼保全，并在定时离职（同时撤销所有访问权限）之前进行了隐秘的取证镜像。 ### 涵盖的关键技术概念 - DLP 告警分析和基线偏差检测 - UEBA 行为异常量化 - 带有设备序列号记录的 USB 大容量存储检测（MITRE T1025） - 针对内部威胁调查的诉讼保全和监管链要求 - 隐秘证据收集和定时离职协调 - SEC Regulation S-P 保障规则和违规评估 - FINRA SAR 评估和 17 CFR §275.204-2 记录保留（7 年） - 最小权限原则失效分析 ### 检测规则亮点 ``` 7200 (?i)(removable|usb|mass storage) USB mass storage device connected to workstation policy_violation,data_loss,T1025, 100401 win.eventdata.driveLetter 600 50 Bulk file copy to removable media: 50+ files within 10-minute window policy_violation,data_exfiltration,T1025, ``` ## 框架对齐 所有剧本都遵循 **NIST SP 800-61 Rev. 2** 事件响应生命周期： ``` Preparation → Detection & Analysis → Containment → Eradication → Recovery → Post-Incident Activity ``` 在适用的情况下，检测规则会映射到 **MITRE ATT&CK Framework**： | 规则 | 技术 | 战术 | |------|-----------|--------| | 100201 | T1078 — Valid Accounts | Defense Evasion, Persistence | | 100301 | T1059.001 — PowerShell | Execution | | 100302 | T1486 — Data Encrypted for Impact | Impact | | 100401/402 | T1025 — Data from Removable Media | Collection | ## 引用的工具和技术 - **SIEM:** Wazuh 4.7.5（在 Ubuntu Server 上进行多合一部署） - **终端遥测：** 带有 SwiftOnSecurity 配置的 Sysmon - **EDR:** CrowdStrike Falcon（在场景中引用） - **DLP:** Microsoft Purview / 电子邮件网关 DLP - **身份验证：** Azure Active Directory / Microsoft Entra ID - **电子邮件安全：** DMARC, DKIM, SPF; Microsoft Defender for Office 365 - **取证：** 内存获取、磁盘镜像、监管链 ## 仓库结构 ``` Incident-Response-Playbooks/ ├── README.md └── playbooks/ ├── 01_Phishing_IR_Playbook_and_Case_Study.pdf ├── 02_Malware_IR_Playbook_and_Case_Study.pdf └── 03_Insider_Threat_IR_Playbook_and_Case_Study.pdf ``` ## 关于 由 **D. Taylor Jr.** 构建，作为网络安全家庭实验室作品集的一部分，旨在应聘 SOC Analyst、Sysadmin 和网络安全职位。背景包括计算机科学理学学士（网络安全方向）以及在路易斯安那州陆军国民警卫队服役 8 年。 **此作品集中的其他项目：** - [Wazuh SIEM](https://github.com/dmtaylorjr/Wazuh-SIEM) — 包含 Windows agent、Sysmon 和自定义检测规则的完整 SIEM 部署 - [网络流量分析](https://github.com/dmtaylorjr/Network-Traffic-Analysis) — 包含 Wireshark + Suricata IDS、自定义规则集和真实异常检测 - [Jellyfn 家庭服务器](https://github.com/dmtaylorjr/Jellyfin-Home-Server) — 包含 Tailscale VPN 和多用户远程访问的 Ubuntu 媒体服务器

标签：IP 地址批量处理, 内部威胁, 勒索软件, 安全运营, 库, 应急响应, 扫描框架, 自定义DNS解析器