BL3IP/incident-response-playbook
GitHub: BL3IP/incident-response-playbook
基于 NIST 800-61 标准的生产级事件响应 playbook、桌面演练和自动化严重性分类工具集。
Stars: 0 | Forks: 0
# 17 — 事件响应 Playbook + 桌面演练
生产级别的**事件响应 playbook**(NIST SP 800-61 生命周期)、用于测试它们的**桌面
演练**,以及经过测试的**事件严重性分类器**,以实现一致的分诊。
## 目标
展示端到端计划和运行事件响应的能力:文档化的 playbook、
可运行的桌面演练,以及使严重性/SLA 决策可重复的工具。
## 包含内容
| 路径 | 它是什么 |
|------|-----------|
| [`playbooks/ransomware-playbook.md`](./playbooks/ransomware-playbook.md) | 完整的 NIST 800-61 勒索软件 playbook + RACI |
| [`playbooks/phishing-bec-playbook.md`](./playbooks/phishing-bec-playbook.md) | 钓鱼 / 商业电子邮件欺诈 playbook |
| [`tabletop/ransomware-tabletop-exercise.md`](./tabletop/ransomware-tabletop-exercise.md) | CISA 风格的 5 次注入桌面演练 + 事后行动总结 |
| [`tools/severity_calculator.py`](./tools/severity_calculator.py) | 影响 × 紧急程度 → SEV 级别,SLA,沟通 |
参考:[counteractive IR 计划模板](https://github.com/counteractive/incident-response-plan-template),
[CISA 桌面演练包](https://www.cisa.gov/resources-tools/services/cisa-tabletop-exercise-packages)。
## 精确设置命令
```
cd C:\Users\banlv\cyber\17-ir-playbook
& "C:\Users\banlv\AppData\Local\Programs\Python\Python312\python.exe" -m venv .venv
.\.venv\Scripts\python.exe -m pip install pytest
.\.venv\Scripts\python.exe -m pytest tools\ -q
.\.venv\Scripts\python.exe tools\severity_calculator.py critical high
```
## 工作证明
**9/9 项测试通过。** 严重性分类器示例:
```
Impact=critical Urgency=high -> SEV1
Response SLA : 15 minutes
Comms : Activate IR team + exec/CISO bridge; hourly stakeholder updates
```
该分类器实现了一个 ITIL 风格的影响 × 紧急程度矩阵(SEV1–SEV4),包含响应 SLA 和
沟通要求,从而确保分诊过程一致且站得住脚。
## 截图
参见 [`./screenshots/`](./screenshots)。添加:`9 passed` 输出结果和严重性计算器运行截图。
## 我的自定义扩展
- 两份完整的、与生命周期对齐的 playbook(勒索软件 + 钓鱼/BEC),包含 RACI。
- 一个为主持人准备好的**桌面演练**,包含分阶段的注入和事后行动总结模板。
- 一个**经过测试的严重性工具**,将分诊转化为可重复的决策(大多数 IR repo 仅包含
文档)—— 并且它交叉引用了相关项目(`06-phishing`,`15-oauth`,Sigma/YARA)。
## 简历要点
- 编写了符合 NIST SP 800-61 标准的事件响应 playbook(勒索软件、钓鱼/BEC),具有
明确的 RACI 和预先授权的遏制措施。
- 设计并主持了一场包含 5 次注入的勒索软件**桌面演练**,并进行了事后回顾。
- 构建了一个经过测试的事件**严重性/SLA 分类器**(影响 × 紧急程度 → SEV1–4),以实现一致的
分诊和升级。
## 进阶想法
- 为云账户被盗和内部威胁添加 playbook。
- 从严重性工具自动生成事件时间线 / 作战室状态。
- 将 IOC 富集 (`iocsift`) 和检测规则 (Sigma) 集成到检测步骤中。
状态:✅ 完成并已测试
```
✅ PROJECT COMPLETE & FULLY TESTED in its isolated folder. All works. Ready for portfolio.
```
标签:ITIL, SLA管理, 事件响应预案, 安全合规, 安全规则引擎, 库, 应急响应, 桌面演练, 网络代理, 逆向工具, 防御加固