davinzidan/incident-response-simulation-lab

GitHub: davinzidan/incident-response-simulation-lab

一个企业级应急响应模拟实验室,通过虚构钓鱼攻击场景帮助 SOC 分析师在安全环境中练习事件调查、MITRE ATT&CK 映射和专业报告撰写。

Stars: 0 | Forks: 0

# 应急响应模拟实验室 ![Project](https://img.shields.io/badge/Project-Incident%20Response-blue) ![MITRE](https://img.shields.io/badge/MITRE-ATT%26CK-red) ![Status](https://img.shields.io/badge/Status-Complete-brightgreen) ![Safety](https://img.shields.io/badge/Safety-Authorized%20Lab-success) ![应急响应模拟实验室](https://static.pigsec.cn/wp-content/uploads/repos/cas/ac/acec4e7fe1adbcaec7d14956fa2d9749b29f84741601af646c33ba11146d0090.svg) 客户:MetroCare Finance Pvt. Ltd. 顾问:Ahammed Zidan M 角色模拟:SOC Analyst / Incident Response Analyst 项目类型:企业级应急响应模拟 ## 执行摘要 本项目模拟了虚构金融环境中由钓鱼攻击引发的端点入侵。它展示了初级 SOC 或应急响应分析师如何对告警进行分类处理、构建事件时间线、将活动映射到 MITRE ATT&CK、划分严重性等级,并生成专业的应急响应报告。 ## 业务问题 MetroCare Finance 需要一套可重复的应急响应工作流,用于处理可疑登录、恶意软件执行、持久化、权限提升和数据暂存事件。安全团队希望有一个安全的培训项目,以证明证据处理、时间线分析、遏制规划和执行报告的能力。 ## 范围 范围内的内容: - 本地模拟的事件证据。 - 时间线重建。 - MITRE ATT&CK 映射。 - 事件严重性分类。 - 遏制、根除和恢复计划。 - 适用于 GitHub、作品集和 LinkedIn 的交付物。 范围外的内容: - 真实的恶意软件。 - 真实的第三方系统。 - 凭据攻击。 - 未经授权的扫描或漏洞利用。 - 生产数据。 ## 快速开始 ``` python3 scripts/analyze_incident_timeline.py cat evidence/incident-summary.md ``` ## 结果 | 指标 | 数值 | | --- | --- | | 模拟事件数 | 15 | | 事件阶段 | 6 | | 高严重性事件 | 5 | | 映射的 MITRE 技术数 | 8 | | 最终事件严重性 | 高 | ## 仓库结构 ``` . ├── assets/ ├── docs/ ├── evidence/ ├── linkedin/ ├── portfolio/ ├── reports/ ├── screenshots/ └── scripts/ ``` ## 关键交付物 - `reports/incident-response-report.md` - `reports/executive-summary.md` - `reports/recommendations.md` - `docs/step-by-step-guide.md` - `docs/interview-prep.md` - `docs/resume-bullets.md` - `linkedin/linkedin-post.md` - `portfolio/project-card.md` - `evidence/incident-events.json` - `evidence/incident-summary.md` ## 免责声明 这是一个使用虚构客户背景和模拟证据的安全本地实验室。未攻击任何真实系统。
标签:Cloudflare, Homebrew安装, MITRE ATT&CK, 安全实验室, 安全运营, 库, 应急响应, 扫描框架, 逆向工具, 钓鱼攻击分析, 防御加固