adamp6461/dfir-incident-response-lab
GitHub: adamp6461/dfir-incident-response-lab
一个模拟企业钓鱼攻击事件的 DFIR 调查实验,完整展示 SIEM 日志分析、网络流量取证与 MITRE ATT&CK 威胁映射的应急响应全流程。
Stars: 1 | Forks: 0
# 数字取证与应急响应 (DFIR) 实验室





## 概述
本项目记录了针对一家虚构公司 **AP Technology Group** 内部疑似钓鱼攻击的数字取证与应急响应 (DFIR) 模拟调查。
本次调查的目的是识别可疑活动、收集证据、分析系统与网络工件、将攻击者行为映射到 MITRE ATT&CK 框架,并记录从检测到恢复的完整事件响应生命周期。
本仓库展示了如何使用行业标准的工具(包括 Splunk Enterprise、Wireshark、PowerShell 和 MITRE ATT&CK)来实践安全运营技能。
## 场景
一名员工报告说,在打开一封看似来自受信任供应商的电子邮件附件后,其 Windows 工作站变得明显缓慢。
报告后不久:
- 检测到可疑的 PowerShell 执行。
- 观察到多次身份验证失败尝试。
- Splunk 生成了安全告警。
- 发现异常的出站网络流量。
- 安全运营团队启动了应急响应调查。
目标是确定事件的范围,识别入侵指标 (IOC),隔离受影响的系统,并记录调查结果。
## 目标
- 模拟真实的安全事件
- 调查端点活动
- 使用 Splunk 分析 SIEM 日志
- 使用 Wireshark 审查网络流量
- 识别入侵指标 (IOC)
- 使用 MITRE ATT&CK 映射攻击者技术
- 记录完整的应急响应过程
- 生成专业的事件报告
## 工具与技术
- Splunk Enterprise
- Wireshark
- Windows PowerShell
- Windows 事件日志
- MITRE ATT&CK 框架
- GitHub
## 调查工作流
1. 接收安全告警
2. 审查初步证据
3. 分析 Windows 事件日志
4. 调查 Splunk 告警
5. 捕获与分析网络流量
6. 识别入侵指标
7. 将活动映射到 MITRE ATT&CK
8. 遏制事件
9. 恢复系统
10. 记录调查结果
## MITRE ATT&CK 技术
| 技术 | 描述 |
|------------|-------------|
| T1566 | Phishing |
| T1059.001 | PowerShell |
| T1078 | Valid Accounts |
| T1071 | Application Layer Protocol |
| T1105 | Ingress Tool Transfer |
## 入侵指标 (IOC)
调查期间识别出的示例工件包括:
- 可疑的 PowerShell 执行
- 多次身份验证失败尝试
- 意外的出站网络连接
- 无法识别的 IP 地址
- 潜在的钓鱼附件
## 截图
### 步骤 1
初始安全告警

### 步骤 2
Splunk 调查

### 步骤 3
Wireshark 网络分析

### 步骤 4
MITRE ATT&CK 映射

### 步骤 5
事件摘要

## 展示的技能
- 数字取证
- 应急响应
- 威胁检测
- SIEM 日志分析
- 网络流量分析
- MITRE ATT&CK 映射
- 安全文档编写
- 根因分析
- 技术报告
## 经验教训
本项目强化了关联端点、日志和网络证据的重要性,这有助于准确识别恶意活动并缩短应急响应时间。
调查还强调了在响应安全事件时,结构化文档、可重复的调查流程以及标准化威胁框架(例如 MITRE ATT&CK)的价值。
## 未来改进
未来的增强功能可能包括:
- Sysmon 日志分析
- Windows 事件 ID 关联
- YARA 规则开发
- Sigma 检测规则
- 内存取证
- 磁盘镜像分析
- 恶意软件逆向工程
- 自动化 IOC 检测
标签:AI合规, SIEM日志分析, Wireshark, 句柄查看, 威胁映射, 数字取证与应急响应, 网络流量分析