robertclaytonconway/crowdstrike-incident-response-playbook
GitHub: robertclaytonconway/crowdstrike-incident-response-playbook
该项目是一份基于 CrowdStrike Falcon 的标准化事件响应手册,为 SOC 分析师提供从检测分诊到事件闭环的可复用操作流程和模板。
Stars: 0 | Forks: 0
# CrowdStrike 事件响应手册
这是一份面向 SOC 的事件响应手册,用于处理 CrowdStrike Falcon 检测、可疑活动、主机隔离、证据收集以及误报审查。
本仓库旨在作为一个安全的网络安全项目作品集。它展示了使用 CrowdStrike Falcon 的实用事件响应工作流,同时避免了敏感的公司数据。
## 项目目标
- 为常见的 CrowdStrike 检测提供可复用的响应步骤。
- 规范分诊、隔离、升级和记录流程。
- 帮助 SOC 分析师在端点安全事件期间做出一致的决策。
- 展示实用的 EDR、事件响应和安全运营经验。
## 仓库结构
```
crowdstrike-incident-response-playbook/
├── README.md
├── playbooks/
│ ├── malware-detection-triage.md
│ ├── suspicious-powershell.md
│ ├── host-containment.md
│ ├── rtr-evidence-collection.md
│ └── false-positive-review.md
├── checklists/
│ ├── detection-triage-checklist.md
│ ├── containment-checklist.md
│ └── escalation-checklist.md
├── templates/
│ ├── incident-report-template.md
│ └── teams-update-template.md
├── docs/
│ └── falcon-fields-reference.md
├── SECURITY.md
└── LICENSE
```
## 核心工作流
```
Detection Alert
↓
Initial Triage
↓
Endpoint / User / Process Review
↓
Determine Severity
↓
Contain Host if Required
↓
Collect Evidence
↓
Remediate / Escalate
↓
Document and Close
```
## 常见用例
| 用例 | 手册 |
|---|---|
| 恶意软件检测 | `playbooks/malware-detection-triage.md` |
| 可疑 PowerShell | `playbooks/suspicious-powershell.md` |
| 主机隔离 | `playbooks/host-containment.md` |
| 证据收集 | `playbooks/rtr-evidence-collection.md` |
| 误报审查 | `playbooks/false-positive-review.md` |
## 推荐严重程度模型
| 严重程度 | 描述 | 操作 |
|---|---|---|
| 低 | 良性或预期活动 | 记录并关闭 |
| 中 | 需要验证的可疑活动 | 分诊并监控 |
| 高 | 已确认的恶意或高风险行为 | 隔离并升级 |
| 严重 | 正在发生的失陷或横向移动 | 立即隔离并升级事件 |
## 简历沟通要点
## 安全声明
本仓库仅使用通用示例。请勿上传真实的主机名、用户名、检测 ID、客户数据、屏幕截图、日志、API 密钥或内部公司信息。
标签:CrowdStrike Falcon, IP 地址批量处理, 事件处置, 安全运营, 库, 应急响应, 扫描框架, 操作手册, 端点检测与响应(EDR), 网络信息收集, 防御加固