linxumoney/cloud-incident-coach
GitHub: linxumoney/cloud-incident-coach
一个开源的云安全事件响应 Agent Skill,帮助响应人员在云安全事件中规范地保全证据、建立时间线、分析影响范围并规划可逆遏制与恢复方案。
Stars: 0 | Forks: 0
# Cloud Incident Coach:云安全事件响应与取证处置 Skill
云安全事件里最危险的动作,往往是慌乱中直接删资源、轮换一切、关闭日志,结果既没控制影响,也失去了追查依据。
`cloud-incident-coach` 是一个只面向防御场景的开源云安全事件响应与取证 Agent Skill。它帮助响应人员保全日志和快照、建立事件时间线、划定身份与数据影响范围、选择可逆遏制动作,并规划恢复和复盘。兼容 Codex、Claude Code、Cursor 和 OpenCode 等支持 `SKILL.md` 的工具。
## 它能协助
- 建立事件指挥结构和严重度
- 生成证据保全清单与时间线
- 区分身份、网络、数据和工作负载影响
- 设计分阶段、可回滚的遏制方案
- 整理内部沟通、监管与客户通知所需事实
- 形成复盘中的根因、促成因素和修复负责人
## 使用示例
用 $cloud-incident-coach 帮我梳理这次云账号异常登录事件。
只做防御响应,先列需要保全的证据,再给可逆的遏制动作。
## 安装
cp -R skills/cloud-incident-coach ~/.codex/skills/
## 适用场景
- AWS、Azure、GCP 等云账号异常登录和凭据泄露
- 云资源配置误改、公开暴露和数据访问异常
- 容器、虚拟机、函数和工作负载安全事件
- 事件证据保全、时间线、影响范围和遏制方案
- 安全事件沟通、服务恢复和事后复盘
## 常见问题
### 它会执行隔离或删除资源吗?
不会自动执行破坏性操作。输出会说明动作目的、业务风险、回滚方法和验证信号,高风险操作需要人工审批。
### 为什么先保全证据?
直接删除资源或关闭服务可能破坏日志、内存、磁盘和配置证据,也可能扩大业务影响。Skill 会优先设计可逆的处置顺序。
### 可以用于渗透测试吗?
它只覆盖防御、取证、遏制、恢复和复盘,不提供提权、持久化、横向移动或规避检测指导。
## 方法参考
本项目独立实现。云事件响应问题域参考了 [mukul975/Anthropic-Cybersecurity-Skills](https://github.com/mukul975/Anthropic-Cybersecurity-Skills) 的防御性公开 Skill,该项目采用 Apache-2.0 License。本项目未复制其脚本、参考文件、模板、自动化代理或文字,也不包含攻击性操作流程。
## License
MIT License。
标签:安全事件响应, 数字取证, 自动化助手, 自动化脚本