Haider9786/ir-playbook

# 钓鱼事件响应手册 **版本：** 1.0 **作者：** Shahab Haider Minhas **框架：** NIST SP 800-61 事件响应生命周期 **范围：** 一级 SOC：钓鱼检测与响应 **最后更新：** 2026年6月 ## 目的 本手册为响应钓鱼事件的一级 SOC 分析师提供了一套结构化、可重复的流程。它涵盖了从初始检测到事后审查的完整事件响应生命周期，并在每个阶段明确了升级标准和决策点。 钓鱼攻击一直是企业环境中最常见的初始攻击媒介。快速、记录完备的响应能够缩短驻留时间、限制损害，并为事后分析与改进提供所需的证据。 ## 事件响应生命周期 ``` DETECTION | v TRIAGE | v CONTAINMENT | v ERADICATION | v RECOVERY | v POST-INCIDENT REVIEW ``` ## 阶段 1：检测 ### 触发来源 钓鱼事件可能通过以下任何一种方式被检测到： | 来源 | 示例 | |---|---| | 用户报告 | 员工将可疑邮件转发给安全团队 | | 邮件网关告警 | 自动检测到恶意链接或附件 | | SIEM 告警 | Wazuh/Splunk 规则因可疑的出站连接而触发 | | EDR 告警 | Microsoft Defender 标记出恶意文件执行 | | 威胁情报源 | 邮件头中出现已知的钓鱼域名 | ### 需收集的初始信息 收到钓鱼告警后，请立即记录以下信息： - [ ] 接收邮件的日期和时间 - [ ] 发件人邮箱地址和显示名称 - [ ] 收件人邮箱地址 - [ ] 邮件主题 - [ ] 是否存在链接 — 列出所有 URL - [ ] 是否存在附件 — 列出文件名和类型 - [ ] 用户是否点击了链接或打开了附件 - [ ] 发送邮件服务器的源 IP - [ ] 如果是自动触发的，记录 SIEM 告警 ID ## 阶段 2：分诊 ### 严重性分类 | 严重性 | 标准 | 响应时间 | |---|---|---| | 严重 | 用户在钓鱼页面输入了凭据或执行了恶意软件 | 立即响应 — 15分钟内升级给 L2 | | 高危 | 用户点击了链接，但未确认输入凭据 | 1小时内升级给 L2 | | 中危 | 收到钓鱼邮件，未确认有用户交互 | 4小时内进行调查 | | 低危 | 钓鱼邮件被网关拦截，未成功投递 | 记录并监控，无需立即采取行动 | ### 分诊决策树 ``` Is this a confirmed phishing email? | +--NO --> Close ticket, document as false positive | YES | Did any user interact with the email (click link / open attachment)? | +--NO --> Medium severity, proceed to containment (block sender/domain) | YES | Did the user enter credentials on a phishing page? | +--NO --> High severity, escalate, check for malware execution | YES | CRITICAL -- Escalate immediately, force password reset, check for account compromise ``` ### 待调查指标 **邮件头分析：** - Reply-To 地址与 From 地址是否不同？ - SPF/DKIM/DMARC 检查是否失败？ - 发送域名是否为新注册（少于 30 天）？ - 发件人域名是否冒充了合法组织？ **链接分析：** - 将 URL 提交给 VirusTotal — 是否有检出记录？ - 在 WHOIS 上检查域名年龄 - URL 是否重定向到了仿冒合法服务的登录页面？ - 该域名是否存在于任何已知的钓鱼源（PhishTank、URLhaus）中？ **附件分析：** - 将文件哈希提交给 VirusTotal - 文件类型是什么？启用宏的 Office 文档属于高风险 - 文件是否被执行过？检查 EDR 遥测数据中的进程创建事件 ## 阶段 3：遏制 ### 立即遏制措施 **如果邮件尚未被打开：** - [ ] 要求邮件网关隔离并删除所有邮箱中的该邮件 - [ ] 在邮件网关处阻止发件人域名 - [ ] 将钓鱼 URL 添加到 Web 代理的黑名单中 **如果链接被点击：** - [ ] 立即在 Web 代理处阻止钓鱼 URL - [ ] 如果确认执行了恶意软件，隔离受影响的终端 - [ ] 在修复前保留终端内存和磁盘映像 - [ ] 通知受影响的用户，不要让他们继续在可能被入侵的设备上工作 **如果输入了凭据：** - [ ] 强制受影响账户立即重置密码 - [ ] 如果无法确认重置完成，暂时禁用该账户 - [ ] 检查过去 24 小时内是否有来自异常 IP 或地理位置的登录 - [ ] 检查被入侵的账户上是否创建了任何邮件转发规则 - [ ] 审查钓鱼发生后的 30 分钟内对该账户执行的所有操作 **如果执行了恶意软件：** - [ ] 立即升级给 L2，这已超出了 Tier 1 的处理范围 - [ ] 将终端从网络中隔离 - [ ] 保留取证证据 - [ ] 记录目前所做的所有操作，并附带完整的笔记进行交接 ## 阶段 4：根除 ### 确认威胁已移除的操作 - [ ] 确认钓鱼邮件已从组织内的所有邮箱中删除 - [ ] 确认钓鱼 URL 已在网关和代理处被阻止 - [ ] 如果涉及恶意软件，与 L2 确认终端已清理或重装镜像 - [ ] 确认未建立任何持久化机制（检查计划任务、注册表 Run 键、启动项） - [ ] 通过审查身份验证日志中的异常访问模式，确认未发生横向移动 - [ ] 在 SIEM 中搜索任何连接到相同钓鱼域名的其他终端 ### 搜索查询 **Wazuh：查找联系过钓鱼域名的其他主机：** ``` data.srcip:* AND data.url:"phishing-domain.com" ``` **Windows Event Log：检查入侵后是否创建了新用户账户：** ``` EventID:4720 AND TimeCreated:[incident-time TO now] ``` **检查新的计划任务：** ``` EventID:4698 (A scheduled task was created) TimeCreated:[incident-time TO now] ``` ## 阶段 5：恢复 - [ ] 重新启用在遏制期间被禁用的所有账户 - [ ] 确认密码重置已完成，且新凭据有效 - [ ] 如果恶意软件已被清除，解除终端隔离 - [ ] 在事件发生后 48 小时内监控受影响的账户和终端，观察是否有任何再次感染的迹象 - [ ] 确认已将结果通知用户，并提供了安全意识指导 - [ ] 移除临时 IP 阻止或不再需要的阻止策略 ## 阶段 6：事后审查 ### 事件记录（在解决后 24 小时内完成） **事件摘要：** - 检测的日期和时间 - 解决的日期和时间 - 总遏制时间 - 受影响的用户 - 受影响的系统 - 潜在被访问或外泄的数据 **根本原因：** - 钓鱼邮件是如何绕过邮件安全控制的？ - 本可以采取什么措施来防止此事件？ **经验教训：** - 暴露了哪些检测盲区？ - 建议进行哪些流程改进？ - 是否需要添加新的 SIEM 规则？ - 是否需要额外的用户安全意识培训？ ### 记录指标 | 指标 | 值 | |---|---| | 检测时间 | | | 分诊时间 | | | 遏制时间 | | | 根除时间 | | | 事件总持续时间 | | | 点击的用户数 | | | 被泄露的凭据 | | | 被隔离的系统 | | ## 升级标准 如果确认了以下任何情况，请立即升级给 L2： - 用户在钓鱼页面输入了凭据 - 终端上执行了恶意软件 - 存在横向移动或特权提升的证据 - 不同部门的多个用户受到影响 - 高管或特权账户成为目标或被入侵 - 怀疑发生了数据外泄 - 攻击者在任何终端上建立了持久化 ## 沟通模板 ### 用户通知：检测到钓鱼邮件 ### 用户通知：凭据可能已泄露 ## 参考 - NIST SP 800-61 Rev 2：计算机安全事件处理指南 - MITRE ATT&CK T1566：钓鱼 - MITRE ATT&CK T1078：有效账户（凭据窃取后） - Microsoft 事件响应手册 - CISA 钓鱼指南

标签：NIST标准, 安全运营, 库, 应急响应, 扫描框架, 操作手册, 防御加固