Cloud-Incident-Response/cloud-incident-response.github.io

GitHub: Cloud-Incident-Response/cloud-incident-response.github.io

一份云服务商无关的应急响应速查表与参考指南,帮助 DFIR 和威胁情报分析师快速了解 AWS、Azure、GCP 及容器环境的日志、身份与攻击映射信息。

Stars: 2 | Forks: 0

# 云应急响应速查表 一份实用的、与云服务商无关的**云应急响应**参考指南,涵盖 **AWS、Azure、GCP 和 Docker/容器**,按领域模型组织并映射到 MITRE ATT&CK Cloud。 它回答了在云安全事件中你首先会问的问题:**存在哪些日志、它们是否默认开启、保留多长时间,以及如何获取它们** —— 外加上确定入侵范围所需的身份、威胁情报和工具上下文。 专为 **DFIR 分析师**(寻找哪份日志能证明哪项操作)和**威胁情报分析师**(将云遥测数据映射到 Diamond Model 和 MITRE ATT&CK)而打造。 ## 本站点 一个自包含的静态站点(无需构建步骤)。在本地打开 `index.html`,或将其托管在 GitHub Pages 上。包含四个顶级部分: - **主页** - 主指南:云 IR 为何不同于传统 IR、应做 / 不应做的事项、关键步骤、各个领域,以及为什么 IAM 是核心。 - **速查表** - 选择服务商(AWS / Azure / GCP / Docker & Containers)以查看其速查表、威胁矩阵、IR 计划和历史事件;此外还提供一个可搜索、可过滤的目录,包含所有日志源和身份类型。 - **威胁情报** - Diamond Model、ATT&CK 映射,以及威胁行为者如何滥用云。 - **培训与资源** - 按**云取证**、**检测与威胁狩猎**以及**架构与基础设施安全**(包括 Permiso P0 Labs 工具,以及由 Andi Ahmeti 和 Abian Morina、fwd:cloudsec 等提供的研究)分类的课程和免费/开源参考资料。 ## 在 GitHub Pages 上托管(免费) 1. 将此文件夹推送到 GitHub 仓库,并将页面中的 `Cloud-Incident-Response` 替换为你的 GitHub 用户名/组织名。 2. 进入仓库 **Settings -> Pages -> Source: GitHub Actions**。 3. 推送到 `main` 分支 - `.github/workflows/pages.yml` 中的工作流会将其发布到 `https://cloud-incident-response.github.io/`。 在仓库根目录添加一个包含自定义子域名(例如 `cloudir.example.com`)的 `CNAME` 文件,并配置相应的 DNS 记录,即可使用你自己的域名提供服务。 ## 编辑目录 ## 标志 / 商标 头带标志(`assets/icon.png`)是受 Naruto(Kumogakure)启发的同人作品,仅用于此非商业性社区项目。Naruto 及所有相关名称、标记和徽标均为其各自所有者的商标,**不**受本仓库 CC BY 4.0 许可证的涵盖。如果你 Fork 或将此项目用于商业用途,请将 `assets/icon.png` 替换为你自己的 logo。
标签:StruQ, 后端开发, 多模态安全, 威胁情报, 安全攻防, 库, 应急响应, 开发者工具, 静态网站