robertclaytonconway/crowdstrike-incident-response-playbook

GitHub: robertclaytonconway/crowdstrike-incident-response-playbook

该项目是一份基于 CrowdStrike Falcon 的标准化事件响应手册,为 SOC 分析师提供从检测分诊到事件闭环的可复用操作流程和模板。

Stars: 0 | Forks: 0

# CrowdStrike 事件响应手册 这是一份面向 SOC 的事件响应手册,用于处理 CrowdStrike Falcon 检测、可疑活动、主机隔离、证据收集以及误报审查。 本仓库旨在作为一个安全的网络安全项目作品集。它展示了使用 CrowdStrike Falcon 的实用事件响应工作流,同时避免了敏感的公司数据。 ## 项目目标 - 为常见的 CrowdStrike 检测提供可复用的响应步骤。 - 规范分诊、隔离、升级和记录流程。 - 帮助 SOC 分析师在端点安全事件期间做出一致的决策。 - 展示实用的 EDR、事件响应和安全运营经验。 ## 仓库结构 ``` crowdstrike-incident-response-playbook/ ├── README.md ├── playbooks/ │ ├── malware-detection-triage.md │ ├── suspicious-powershell.md │ ├── host-containment.md │ ├── rtr-evidence-collection.md │ └── false-positive-review.md ├── checklists/ │ ├── detection-triage-checklist.md │ ├── containment-checklist.md │ └── escalation-checklist.md ├── templates/ │ ├── incident-report-template.md │ └── teams-update-template.md ├── docs/ │ └── falcon-fields-reference.md ├── SECURITY.md └── LICENSE ``` ## 核心工作流 ``` Detection Alert ↓ Initial Triage ↓ Endpoint / User / Process Review ↓ Determine Severity ↓ Contain Host if Required ↓ Collect Evidence ↓ Remediate / Escalate ↓ Document and Close ``` ## 常见用例 | 用例 | 手册 | |---|---| | 恶意软件检测 | `playbooks/malware-detection-triage.md` | | 可疑 PowerShell | `playbooks/suspicious-powershell.md` | | 主机隔离 | `playbooks/host-containment.md` | | 证据收集 | `playbooks/rtr-evidence-collection.md` | | 误报审查 | `playbooks/false-positive-review.md` | ## 推荐严重程度模型 | 严重程度 | 描述 | 操作 | |---|---|---| | 低 | 良性或预期活动 | 记录并关闭 | | 中 | 需要验证的可疑活动 | 分诊并监控 | | 高 | 已确认的恶意或高风险行为 | 隔离并升级 | | 严重 | 正在发生的失陷或横向移动 | 立即隔离并升级事件 | ## 简历沟通要点 ## 安全声明 本仓库仅使用通用示例。请勿上传真实的主机名、用户名、检测 ID、客户数据、屏幕截图、日志、API 密钥或内部公司信息。
标签:CrowdStrike Falcon, IP 地址批量处理, 事件处置, 安全运营, 库, 应急响应, 扫描框架, 操作手册, 端点检测与响应(EDR), 网络信息收集, 防御加固