BL3IP/incident-response-playbook

GitHub: BL3IP/incident-response-playbook

基于 NIST 800-61 标准的生产级事件响应 playbook、桌面演练和自动化严重性分类工具集。

Stars: 0 | Forks: 0

# 17 — 事件响应 Playbook + 桌面演练 生产级别的**事件响应 playbook**(NIST SP 800-61 生命周期)、用于测试它们的**桌面 演练**,以及经过测试的**事件严重性分类器**,以实现一致的分诊。 ## 目标 展示端到端计划和运行事件响应的能力:文档化的 playbook、 可运行的桌面演练,以及使严重性/SLA 决策可重复的工具。 ## 包含内容 | 路径 | 它是什么 | |------|-----------| | [`playbooks/ransomware-playbook.md`](./playbooks/ransomware-playbook.md) | 完整的 NIST 800-61 勒索软件 playbook + RACI | | [`playbooks/phishing-bec-playbook.md`](./playbooks/phishing-bec-playbook.md) | 钓鱼 / 商业电子邮件欺诈 playbook | | [`tabletop/ransomware-tabletop-exercise.md`](./tabletop/ransomware-tabletop-exercise.md) | CISA 风格的 5 次注入桌面演练 + 事后行动总结 | | [`tools/severity_calculator.py`](./tools/severity_calculator.py) | 影响 × 紧急程度 → SEV 级别,SLA,沟通 | 参考:[counteractive IR 计划模板](https://github.com/counteractive/incident-response-plan-template), [CISA 桌面演练包](https://www.cisa.gov/resources-tools/services/cisa-tabletop-exercise-packages)。 ## 精确设置命令 ``` cd C:\Users\banlv\cyber\17-ir-playbook & "C:\Users\banlv\AppData\Local\Programs\Python\Python312\python.exe" -m venv .venv .\.venv\Scripts\python.exe -m pip install pytest .\.venv\Scripts\python.exe -m pytest tools\ -q .\.venv\Scripts\python.exe tools\severity_calculator.py critical high ``` ## 工作证明 **9/9 项测试通过。** 严重性分类器示例: ``` Impact=critical Urgency=high -> SEV1 Response SLA : 15 minutes Comms : Activate IR team + exec/CISO bridge; hourly stakeholder updates ``` 该分类器实现了一个 ITIL 风格的影响 × 紧急程度矩阵(SEV1–SEV4),包含响应 SLA 和 沟通要求,从而确保分诊过程一致且站得住脚。 ## 截图 参见 [`./screenshots/`](./screenshots)。添加:`9 passed` 输出结果和严重性计算器运行截图。 ## 我的自定义扩展 - 两份完整的、与生命周期对齐的 playbook(勒索软件 + 钓鱼/BEC),包含 RACI。 - 一个为主持人准备好的**桌面演练**,包含分阶段的注入和事后行动总结模板。 - 一个**经过测试的严重性工具**,将分诊转化为可重复的决策(大多数 IR repo 仅包含 文档)—— 并且它交叉引用了相关项目(`06-phishing`,`15-oauth`,Sigma/YARA)。 ## 简历要点 - 编写了符合 NIST SP 800-61 标准的事件响应 playbook(勒索软件、钓鱼/BEC),具有 明确的 RACI 和预先授权的遏制措施。 - 设计并主持了一场包含 5 次注入的勒索软件**桌面演练**,并进行了事后回顾。 - 构建了一个经过测试的事件**严重性/SLA 分类器**(影响 × 紧急程度 → SEV1–4),以实现一致的 分诊和升级。 ## 进阶想法 - 为云账户被盗和内部威胁添加 playbook。 - 从严重性工具自动生成事件时间线 / 作战室状态。 - 将 IOC 富集 (`iocsift`) 和检测规则 (Sigma) 集成到检测步骤中。 状态:✅ 完成并已测试 ``` ✅ PROJECT COMPLETE & FULLY TESTED in its isolated folder. All works. Ready for portfolio. ```
标签:ITIL, SLA管理, 事件响应预案, 安全合规, 安全规则引擎, 库, 应急响应, 桌面演练, 网络代理, 逆向工具, 防御加固