WiLL75G/Threat-investigation-vault
GitHub: WiLL75G/Threat-investigation-vault
一个基于 Markdown 的本地优先调查工作区,专为 SOC 分析、威胁狩猎和 DFIR 设计,旨在将安全调查过程结构化、可重复且可审查。
Stars: 1 | Forks: 0
# 威胁调查库
一个本地优先、基于 Markdown 的调查工作区,专为 SOC 分析、威胁狩猎和 DFIR 设计。旨在将完整的调查生命周期——分类、artifact 丰富化、playbook 执行和报告——构建在一个单一且便携的知识库中。

## 为什么存在此库
SIEM 告警通常会进入工单系统,而实际的分析研究、artifact 丰富化以及决策依据通常散落在各种零散的笔记中。此库旨在将*调查过程本身*变得结构化、可重复且可审查,并以真实的实验室遥测数据为基础,而非纯粹的理论。
## 组织结构
| 文件夹 | 用途 |
|---------------|---------------------------------------------------------------|
| `cases/` | 每次调查对应一个独立的文件夹 |
| `SOPs/` | 可复用的标准操作程序(分类步骤) |
| `playbooks/` | 供 cases 引用的响应 playbook |
| `templates/` | 用于新建 cases、artifact 和报告的脚手架 |
| `artifacts/` | 全局 artifact 索引(跨 case 关联的 IOC) |
| `dashboards/` | 活跃 cases 和待办任务的汇总视图 |
## 调查生命周期
```
Alert -> Open case -> Log artifacts -> Enrich -> Follow SOP
-> Execute playbook (if TP) -> Report -> Close
```
## Cases
| ID | 标题 | 严重性 | 状态 |
|----------|------------------------------------------|----------|--------|
| CASE-001 | 针对 Linux Syslog 主机的 SSH 暴力破解 | High | Closed |
## 使用说明
将此文件夹作为 [Obsidian](https://obsidian.md) 库打开,或者在 GitHub 上作为纯 Markdown 浏览。每个 case 都通过标准的 Markdown 链接关联其 SOP、artifact 和报告,因此您可以直接在 GitHub 上点击查看完整的调查过程。
标签:Markdown, Obsidian, Ruby, 安全运营, 库, 应急响应, 扫描框架, 知识库, 防御加固