sotithsim4-art/incident-response-playbook
GitHub: sotithsim4-art/incident-response-playbook
一款基于 NIST SP 800-61 框架的交互式 Python 工具,引导 SOC 分析师按标准流程处置钓鱼、勒索软件和未授权访问事件,并自动生成结案报告。
Stars: 0 | Forks: 0
# 事件响应 Playbook
一款交互式 Python 工具,旨在引导 SOC 分析师逐步完成针对三种常见攻击类型的事件响应流程。该工具会追踪已完成的步骤,并生成结案报告。
## 涵盖的事件类型
- **Phishing 攻击** — 基于电子邮件的社会工程学攻击
- **勒索软件攻击** — 文件加密与勒索
- **未经授权的访问** — 凭据泄露与入侵
## IR 阶段(针对每个事件)
1. **识别** — 确认并界定事件范围
2. **遏制** — 阻止损害蔓延
3. **根除** — 移除威胁
4. **恢复** — 恢复正常运营
5. **经验教训** — 记录并改进
## 运行方式
```
python ir_playbook.py
```
## 示例输出
```
=======================================================
INCIDENT RESPONSE PLAYBOOK
Select incident type:
1. Phishing Attack
2. Ransomware Attack
3. Unauthorized Access
Enter 1, 2, or 3: 1
--- IDENTIFICATION ---
Confirm the report — who received it and when?
[C/S] > C
...
=======================================================
INCIDENT RESPONSE SUMMARY
Incident: Phishing Attack
Completed: 22/25 steps (88%)
STATUS: Mostly resolved. Complete skipped steps.
=======================================================
```
## 重要意义
事件响应是网络安全领域最关键的技能之一。SOC 分析师和 IR 团队会遵循像这样结构化的 playbook,以确保在处理实际事件时不会遗漏任何环节。本工具基于 NIST SP 800-61 事件处理指南框架。
标签:NIST, Python, 安全运营, 库, 应急响应, 扫描框架, 无后门, 逆向工具