WiLL75G/Threat-investigation-vault

GitHub: WiLL75G/Threat-investigation-vault

一个基于 Markdown 的本地优先调查工作区,专为 SOC 分析、威胁狩猎和 DFIR 设计,旨在将安全调查过程结构化、可重复且可审查。

Stars: 1 | Forks: 0

# 威胁调查库 一个本地优先、基于 Markdown 的调查工作区,专为 SOC 分析、威胁狩猎和 DFIR 设计。旨在将完整的调查生命周期——分类、artifact 丰富化、playbook 执行和报告——构建在一个单一且便携的知识库中。 ![CASE-001 SSH 暴力破解调查](https://static.pigsec.cn/wp-content/uploads/repos/cas/aa/aa341b456420426488bf0ac68a86b7278a578368aa7faa2b968312afb215e0fd.png) ## 为什么存在此库 SIEM 告警通常会进入工单系统,而实际的分析研究、artifact 丰富化以及决策依据通常散落在各种零散的笔记中。此库旨在将*调查过程本身*变得结构化、可重复且可审查,并以真实的实验室遥测数据为基础,而非纯粹的理论。 ## 组织结构 | 文件夹 | 用途 | |---------------|---------------------------------------------------------------| | `cases/` | 每次调查对应一个独立的文件夹 | | `SOPs/` | 可复用的标准操作程序(分类步骤) | | `playbooks/` | 供 cases 引用的响应 playbook | | `templates/` | 用于新建 cases、artifact 和报告的脚手架 | | `artifacts/` | 全局 artifact 索引(跨 case 关联的 IOC) | | `dashboards/` | 活跃 cases 和待办任务的汇总视图 | ## 调查生命周期 ``` Alert -> Open case -> Log artifacts -> Enrich -> Follow SOP -> Execute playbook (if TP) -> Report -> Close ``` ## Cases | ID | 标题 | 严重性 | 状态 | |----------|------------------------------------------|----------|--------| | CASE-001 | 针对 Linux Syslog 主机的 SSH 暴力破解 | High | Closed | ## 使用说明 将此文件夹作为 [Obsidian](https://obsidian.md) 库打开,或者在 GitHub 上作为纯 Markdown 浏览。每个 case 都通过标准的 Markdown 链接关联其 SOP、artifact 和报告,因此您可以直接在 GitHub 上点击查看完整的调查过程。
标签:Markdown, Obsidian, Ruby, 安全运营, 库, 应急响应, 扫描框架, 知识库, 防御加固