Cloud-Incident-Response/cloud-incident-response.github.io
GitHub: Cloud-Incident-Response/cloud-incident-response.github.io
一份云服务商无关的应急响应速查表与参考指南,帮助 DFIR 和威胁情报分析师快速了解 AWS、Azure、GCP 及容器环境的日志、身份与攻击映射信息。
Stars: 2 | Forks: 0
# 云应急响应速查表
一份实用的、与云服务商无关的**云应急响应**参考指南,涵盖 **AWS、Azure、GCP 和 Docker/容器**,按领域模型组织并映射到 MITRE ATT&CK Cloud。
它回答了在云安全事件中你首先会问的问题:**存在哪些日志、它们是否默认开启、保留多长时间,以及如何获取它们** —— 外加上确定入侵范围所需的身份、威胁情报和工具上下文。
专为 **DFIR 分析师**(寻找哪份日志能证明哪项操作)和**威胁情报分析师**(将云遥测数据映射到 Diamond Model 和 MITRE ATT&CK)而打造。
## 本站点
一个自包含的静态站点(无需构建步骤)。在本地打开 `index.html`,或将其托管在 GitHub Pages 上。包含四个顶级部分:
- **主页** - 主指南:云 IR 为何不同于传统 IR、应做 / 不应做的事项、关键步骤、各个领域,以及为什么 IAM 是核心。
- **速查表** - 选择服务商(AWS / Azure / GCP / Docker & Containers)以查看其速查表、威胁矩阵、IR 计划和历史事件;此外还提供一个可搜索、可过滤的目录,包含所有日志源和身份类型。
- **威胁情报** - Diamond Model、ATT&CK 映射,以及威胁行为者如何滥用云。
- **培训与资源** - 按**云取证**、**检测与威胁狩猎**以及**架构与基础设施安全**(包括 Permiso P0 Labs 工具,以及由 Andi Ahmeti 和 Abian Morina、fwd:cloudsec 等提供的研究)分类的课程和免费/开源参考资料。
## 在 GitHub Pages 上托管(免费)
1. 将此文件夹推送到 GitHub 仓库,并将页面中的 `Cloud-Incident-Response` 替换为你的 GitHub 用户名/组织名。
2. 进入仓库 **Settings -> Pages -> Source: GitHub Actions**。
3. 推送到 `main` 分支 - `.github/workflows/pages.yml` 中的工作流会将其发布到 `https://cloud-incident-response.github.io/`。
在仓库根目录添加一个包含自定义子域名(例如 `cloudir.example.com`)的 `CNAME` 文件,并配置相应的 DNS 记录,即可使用你自己的域名提供服务。
## 编辑目录
## 标志 / 商标
头带标志(`assets/icon.png`)是受 Naruto(Kumogakure)启发的同人作品,仅用于此非商业性社区项目。Naruto 及所有相关名称、标记和徽标均为其各自所有者的商标,**不**受本仓库 CC BY 4.0 许可证的涵盖。如果你 Fork 或将此项目用于商业用途,请将 `assets/icon.png` 替换为你自己的 logo。
标签:StruQ, 后端开发, 多模态安全, 威胁情报, 安全攻防, 库, 应急响应, 开发者工具, 静态网站