adamp6461/dfir-incident-response-lab

GitHub: adamp6461/dfir-incident-response-lab

一个模拟企业钓鱼攻击事件的 DFIR 调查实验,完整展示 SIEM 日志分析、网络流量取证与 MITRE ATT&CK 威胁映射的应急响应全流程。

Stars: 1 | Forks: 0

# 数字取证与应急响应 (DFIR) 实验室 ![Windows](https://img.shields.io/badge/Platform-Windows-blue) ![Splunk](https://img.shields.io/badge/SIEM-Splunk-green) ![Wireshark](https://img.shields.io/badge/Network-Wireshark-blue) ![MITRE ATT&CK](https://img.shields.io/badge/Framework-MITRE_ATT%26CK-red) ![DFIR](https://img.shields.io/badge/Discipline-DFIR-orange) ## 概述 本项目记录了针对一家虚构公司 **AP Technology Group** 内部疑似钓鱼攻击的数字取证与应急响应 (DFIR) 模拟调查。 本次调查的目的是识别可疑活动、收集证据、分析系统与网络工件、将攻击者行为映射到 MITRE ATT&CK 框架,并记录从检测到恢复的完整事件响应生命周期。 本仓库展示了如何使用行业标准的工具(包括 Splunk Enterprise、Wireshark、PowerShell 和 MITRE ATT&CK)来实践安全运营技能。 ## 场景 一名员工报告说,在打开一封看似来自受信任供应商的电子邮件附件后,其 Windows 工作站变得明显缓慢。 报告后不久: - 检测到可疑的 PowerShell 执行。 - 观察到多次身份验证失败尝试。 - Splunk 生成了安全告警。 - 发现异常的出站网络流量。 - 安全运营团队启动了应急响应调查。 目标是确定事件的范围,识别入侵指标 (IOC),隔离受影响的系统,并记录调查结果。 ## 目标 - 模拟真实的安全事件 - 调查端点活动 - 使用 Splunk 分析 SIEM 日志 - 使用 Wireshark 审查网络流量 - 识别入侵指标 (IOC) - 使用 MITRE ATT&CK 映射攻击者技术 - 记录完整的应急响应过程 - 生成专业的事件报告 ## 工具与技术 - Splunk Enterprise - Wireshark - Windows PowerShell - Windows 事件日志 - MITRE ATT&CK 框架 - GitHub ## 调查工作流 1. 接收安全告警 2. 审查初步证据 3. 分析 Windows 事件日志 4. 调查 Splunk 告警 5. 捕获与分析网络流量 6. 识别入侵指标 7. 将活动映射到 MITRE ATT&CK 8. 遏制事件 9. 恢复系统 10. 记录调查结果 ## MITRE ATT&CK 技术 | 技术 | 描述 | |------------|-------------| | T1566 | Phishing | | T1059.001 | PowerShell | | T1078 | Valid Accounts | | T1071 | Application Layer Protocol | | T1105 | Ingress Tool Transfer | ## 入侵指标 (IOC) 调查期间识别出的示例工件包括: - 可疑的 PowerShell 执行 - 多次身份验证失败尝试 - 意外的出站网络连接 - 无法识别的 IP 地址 - 潜在的钓鱼附件 ## 截图 ### 步骤 1 初始安全告警 ![Step 1](https://raw.githubusercontent.com/adamp6461/dfir-incident-response-lab/main/screenshots/step-1.png) ### 步骤 2 Splunk 调查 ![Step 2](https://raw.githubusercontent.com/adamp6461/dfir-incident-response-lab/main/screenshots/step-2.png) ### 步骤 3 Wireshark 网络分析 ![Step 3](https://raw.githubusercontent.com/adamp6461/dfir-incident-response-lab/main/screenshots/step-3.png) ### 步骤 4 MITRE ATT&CK 映射 ![Step 4](https://raw.githubusercontent.com/adamp6461/dfir-incident-response-lab/main/screenshots/step-4.png) ### 步骤 5 事件摘要 ![Step 5](https://raw.githubusercontent.com/adamp6461/dfir-incident-response-lab/main/screenshots/step-5.png) ## 展示的技能 - 数字取证 - 应急响应 - 威胁检测 - SIEM 日志分析 - 网络流量分析 - MITRE ATT&CK 映射 - 安全文档编写 - 根因分析 - 技术报告 ## 经验教训 本项目强化了关联端点、日志和网络证据的重要性,这有助于准确识别恶意活动并缩短应急响应时间。 调查还强调了在响应安全事件时,结构化文档、可重复的调查流程以及标准化威胁框架(例如 MITRE ATT&CK)的价值。 ## 未来改进 未来的增强功能可能包括: - Sysmon 日志分析 - Windows 事件 ID 关联 - YARA 规则开发 - Sigma 检测规则 - 内存取证 - 磁盘镜像分析 - 恶意软件逆向工程 - 自动化 IOC 检测
标签:AI合规, SIEM日志分析, Wireshark, 句柄查看, 威胁映射, 数字取证与应急响应, 网络流量分析