ajernigan10-glitch/incident-response-forensics-case-study
GitHub: ajernigan10-glitch/incident-response-forensics-case-study
基于 NIST SP 800-61 框架的数字取证与事件响应案例研究,通过模拟鱼叉式网络钓鱼场景展示完整的事件调查流程与专业取证文档编制。
Stars: 0 | Forks: 0
# 事件响应与数字取证调查
## 概述
本仓库记录了一起针对混合云组织的模拟鱼叉式网络钓鱼攻击的事件响应与数字取证调查。该项目遵循美国国家标准与技术研究院 (NIST) SP 800-61 事件响应生命周期,展示了事件响应团队如何在保留数字证据的同时,检测、分析、遏制、根除网络安全事件并从中恢复。
创建此项目旨在展示如何使用业界公认的最佳实践进行事件响应规划、取证文档记录、证据处理以及技术报告。
## 场景
一家中型科技公司经历了针对性的鱼叉式网络钓鱼攻击,导致员工电子邮件账户遭到未经授权的访问。在获取访问权限后,攻击者部署了恶意软件,并试图将敏感的业务信息窃取到外部服务器。
事件响应团队对攻击进行了调查,确定了攻击向量,保留了数字证据,移除了恶意软件,恢复了受影响的系统,并记录了相关建议以降低未来发生类似事件的可能性。
## 目标
本项目的目标是:
- 调查模拟的网络安全事件
- 遵循 NIST SP 800-61 事件响应生命周期
- 识别攻击向量
- 保留数字证据
- 记录事件响应程序
- 制作专业的取证文档
- 提出安全改进建议
## 展示的技能
- 数字取证
- 事件响应
- 证据保全
- 证据保管链
- 威胁狩猎
- 恶意软件调查
- 日志分析
- 时间线重建
- 技术文档
- 风险评估
- 安全运营
- NIST SP 800-61
## 调查阶段
1. 准备
2. 检测与分析
3. 遏制
4. 根除
5. 恢复
6. 经验教训
## 仓库结构
```
docs/
Executive Summary
Incident Report
Incident Timeline
Lessons Learned
Recommendations
Incident Response Plan
evidence/
Evidence Inventory
Chain of Custody
Indicators of Compromise
Hash Verification
diagrams/
Incident Response Lifecycle
Attack Flow
Network Diagram
Investigation Timeline
MITRE ATT&CK Mapping
```
## 免责声明
本仓库包含一个虚构的事件响应调查,出于教育和作品集展示目的而创建。其中的场景、证据和文档均为模拟,旨在展示数字取证和事件响应方法论,而非代表真实的安全事件。
标签:BurpSuite集成, DAST, NIST SP 800-61, PE 加载器, 域环境安全, 库, 应急响应, 恶意软件分析, 数字取证, 自动化脚本, 证据保全, 防御加固