6ix7teen/incident-response-simulation

GitHub: 6ix7teen/incident-response-simulation

基于 NIST 标准的网络安全事件响应模拟框架,为蓝队和安全分析师提供场景化演练环境,涵盖检测、遏制、根除与事后报告全流程。

Stars: 0 | Forks: 0

# incident-response-simulation 一个结构化的框架和基于场景的 playbook 引擎,旨在模拟真实的网络安全事件。此仓库为事件响应 (IR) 团队、安全分析师和蓝队提供桌面推演材料、模拟 artifact 日志以及自动化事件注入工具,以练习检测、遏制、根除和事后报告。 ## 🎯 目的与范围 本项目作为一个安全且高度逼真的训练环境,用于在压力下测试内部检测控制和运营准备情况。这些场景遵循 **NIST SP 800-61r2** 事件处理生命周期,在四个核心支柱上对参与者进行挑战: * **准备与检测:** 利用日志解析器、SIEM 警报和 endpoint 分析来发现初始入侵指标。 * **分析与分流:** 确定 blast radius 的范围,识别受损账户,并追踪横向移动。 * **遏制与根除:** 安全地隔离受影响的系统,撤销 access token,并移除持久化机制。 * **事后恢复:** 回顾经验教训,构建时间线,并记录可操作的补救计划。 ## 🚀 主要特性 * **预置模拟 Artifact:** 用于离线分析的真实遥测数据集(Sysmon 日志、活动连接表、Windows 事件日志和 PCAP 网络痕迹)。 * **动态事件注入器:** 用于模拟正在发生、演变中的安全事件(例如,流式传输恶意登录或模拟出站 C2 流量)的自动化脚本。 * **Playbook 集成:** 针对标准企业攻击向量映射的分步指导手册。 * **评估指标:** 用于评估团队检测速度 (Time-to-Detect/TTD) 和遏制效率 (Time-to-Respond/TTR) 的模板。 ## 📂 项目结构 ``` incident-response-simulation/ ├── scenarios/ │ ├── sc-01-ransomware/ # Mock data and walkthroughs for active encryption threats │ ├── sc-02-insider-threat/ # Exfiltration logs and cloud storage exfil artifacts │ └── sc-03-api-compromise/ # Web server application logs and suspicious webhooks ├── injectors/ │ ├── network_noise.py # Python script to stream mock C2 traffic telemetry │ └── log_generator.sh # Shell tool to append brute force entries to system auth logs ├── playbooks/ # Triage checklists and response templates └── README.md # Simulation guidelines and framework manual ```
标签:Cutter, 子域枚举, 安全培训, 安全运营, 库, 应急响应, 扫描框架, 网络靶场, 蓝队演练, 逆向工具