6ix7teen/incident-response-simulation
GitHub: 6ix7teen/incident-response-simulation
基于 NIST 标准的网络安全事件响应模拟框架,为蓝队和安全分析师提供场景化演练环境,涵盖检测、遏制、根除与事后报告全流程。
Stars: 0 | Forks: 0
# incident-response-simulation
一个结构化的框架和基于场景的 playbook 引擎,旨在模拟真实的网络安全事件。此仓库为事件响应 (IR) 团队、安全分析师和蓝队提供桌面推演材料、模拟 artifact 日志以及自动化事件注入工具,以练习检测、遏制、根除和事后报告。
## 🎯 目的与范围
本项目作为一个安全且高度逼真的训练环境,用于在压力下测试内部检测控制和运营准备情况。这些场景遵循 **NIST SP 800-61r2** 事件处理生命周期,在四个核心支柱上对参与者进行挑战:
* **准备与检测:** 利用日志解析器、SIEM 警报和 endpoint 分析来发现初始入侵指标。
* **分析与分流:** 确定 blast radius 的范围,识别受损账户,并追踪横向移动。
* **遏制与根除:** 安全地隔离受影响的系统,撤销 access token,并移除持久化机制。
* **事后恢复:** 回顾经验教训,构建时间线,并记录可操作的补救计划。
## 🚀 主要特性
* **预置模拟 Artifact:** 用于离线分析的真实遥测数据集(Sysmon 日志、活动连接表、Windows 事件日志和 PCAP 网络痕迹)。
* **动态事件注入器:** 用于模拟正在发生、演变中的安全事件(例如,流式传输恶意登录或模拟出站 C2 流量)的自动化脚本。
* **Playbook 集成:** 针对标准企业攻击向量映射的分步指导手册。
* **评估指标:** 用于评估团队检测速度 (Time-to-Detect/TTD) 和遏制效率 (Time-to-Respond/TTR) 的模板。
## 📂 项目结构
```
incident-response-simulation/
├── scenarios/
│ ├── sc-01-ransomware/ # Mock data and walkthroughs for active encryption threats
│ ├── sc-02-insider-threat/ # Exfiltration logs and cloud storage exfil artifacts
│ └── sc-03-api-compromise/ # Web server application logs and suspicious webhooks
├── injectors/
│ ├── network_noise.py # Python script to stream mock C2 traffic telemetry
│ └── log_generator.sh # Shell tool to append brute force entries to system auth logs
├── playbooks/ # Triage checklists and response templates
└── README.md # Simulation guidelines and framework manual
```
标签:Cutter, 子域枚举, 安全培训, 安全运营, 库, 应急响应, 扫描框架, 网络靶场, 蓝队演练, 逆向工具