davinzidan/incident-response-simulation-lab
GitHub: davinzidan/incident-response-simulation-lab
一个企业级应急响应模拟实验室,通过虚构钓鱼攻击场景帮助 SOC 分析师在安全环境中练习事件调查、MITRE ATT&CK 映射和专业报告撰写。
Stars: 0 | Forks: 0
# 应急响应模拟实验室





客户:MetroCare Finance Pvt. Ltd.
顾问:Ahammed Zidan M
角色模拟:SOC Analyst / Incident Response Analyst
项目类型:企业级应急响应模拟
## 执行摘要
本项目模拟了虚构金融环境中由钓鱼攻击引发的端点入侵。它展示了初级 SOC 或应急响应分析师如何对告警进行分类处理、构建事件时间线、将活动映射到 MITRE ATT&CK、划分严重性等级,并生成专业的应急响应报告。
## 业务问题
MetroCare Finance 需要一套可重复的应急响应工作流,用于处理可疑登录、恶意软件执行、持久化、权限提升和数据暂存事件。安全团队希望有一个安全的培训项目,以证明证据处理、时间线分析、遏制规划和执行报告的能力。
## 范围
范围内的内容:
- 本地模拟的事件证据。
- 时间线重建。
- MITRE ATT&CK 映射。
- 事件严重性分类。
- 遏制、根除和恢复计划。
- 适用于 GitHub、作品集和 LinkedIn 的交付物。
范围外的内容:
- 真实的恶意软件。
- 真实的第三方系统。
- 凭据攻击。
- 未经授权的扫描或漏洞利用。
- 生产数据。
## 快速开始
```
python3 scripts/analyze_incident_timeline.py
cat evidence/incident-summary.md
```
## 结果
| 指标 | 数值 |
| --- | --- |
| 模拟事件数 | 15 |
| 事件阶段 | 6 |
| 高严重性事件 | 5 |
| 映射的 MITRE 技术数 | 8 |
| 最终事件严重性 | 高 |
## 仓库结构
```
.
├── assets/
├── docs/
├── evidence/
├── linkedin/
├── portfolio/
├── reports/
├── screenshots/
└── scripts/
```
## 关键交付物
- `reports/incident-response-report.md`
- `reports/executive-summary.md`
- `reports/recommendations.md`
- `docs/step-by-step-guide.md`
- `docs/interview-prep.md`
- `docs/resume-bullets.md`
- `linkedin/linkedin-post.md`
- `portfolio/project-card.md`
- `evidence/incident-events.json`
- `evidence/incident-summary.md`
## 免责声明
这是一个使用虚构客户背景和模拟证据的安全本地实验室。未攻击任何真实系统。
标签:Cloudflare, Homebrew安装, MITRE ATT&CK, 安全实验室, 安全运营, 库, 应急响应, 扫描框架, 逆向工具, 钓鱼攻击分析, 防御加固