austinsonger/Incident-Playbook

GitHub: austinsonger/Incident-Playbook

Stars: 1541 | Forks: 280

[![加入聊天 https://gitter.im/Incident-Playbook/community](https://badges.gitter.im/Incident-Playbook/community.svg)](https://gitter.im/Incident-Playbook/community?utm_source=badge&utm_medium=badge&utm_campaign=pr-badge&utm_content=badge) 如果您对这个项目有想法，请发起一个[讨论。](https://github.com/austinsonger/Incident-Playbook/discussions/new) ![](https://i.imgur.com/DLj8Enw.png) ### 项目目的本项目将由 SOC/事件响应社区创建 - 为每一项 MITRE 技术开发事件响应剧本目录（请注意这不适用于某些战术）。 - 为罕见事件开发事件响应剧本目录。 - 开发剧本的 JSON 配置。 - 开发可用于培训目的的演练场景目录。 - 开发事件响应工具目录 `[包括不同工具的评测]`。 - 开发事件响应自动化目录。 - 开发检查清单目录 `[针对事件前、事件中、事件后]`。 - 开发组织可用于构建自身计划的角色目录。 - 开发事件代码和 API 操作目录，这些是您在 SIEM 检测中可能/将会看到的。 - 开发一本作战卡手册，可在事件发生期间作为即时帮助的参考。 ### MITRE ATT&CK #### 战术 ##### 初始访问 - [X] [剧本：T1133 - 非授权 VPN 和 VDI 访问](/Playbooks/MITRE-ATTACK/Initial%20Access/T1133-Unauthorized-VPN-and-VDI-Access.md) - [X] [剧本：T1189 - 路过式入侵](/Playbooks/MITRE-ATTACK/Initial%20Access/T1189-Drive-By-Compromise.md) - [X] [剧本：T1566 - 钓鱼](/Playbooks/MITRE-ATTACK/Initial%20Access/T1566-Phishing-(T1566.001-T1566.002-T1566.003).md) ##### 收集 - [X] [剧本：T1114 - 云端电子邮件入侵](/Playbooks/MITRE-ATTACK/Collection/T1114-Cloud-Email-Compromise.md) ##### 凭证访问 - [ ] [剧本：T1110.003 - 密码喷洒](/Playbooks/MITRE-ATTACK/Credential%20Access/T1110.003-Password%20Spraying.md) ##### 防御规避 - [X] [剧本：T1055 - 进程注入](/Playbooks/MITRE-ATTACK/Defense%20Evasion/T1055-Process-Injection.md) ##### 持久化 - [X] [剧本：T1053 - 计划任务/作业](/Playbooks/MITRE-ATTACK/Persistence/T1053-Scheduled-Task-Job.md) ##### 数据窃取 - [X] [剧本：T1052.001 - 通过 USB 窃取数据](/Playbooks/MITRE-ATTACK/Exfiltration/T1052.001%20-%20Exfiltration%20over%20USB.md) ##### 影响 - [ ] [剧本：T1485 - 数据破坏](/Playbooks/MITRE-ATTACK/Impact/T1485-Data-Destruction.md) - [X] [剧本：T1486 - 为造成影响的数据加密（勒索软件）](/Playbooks/MITRE-ATTACK/Impact/T1486-Data-Encrypted-for-Impact-Ransomware.md) - [ ] [剧本：T1489 - 停止服务](/Playbooks/MITRE-ATTACK/Impact/T1489-Service-Stop.md) - [X] [剧本：T1491.002 - 外部篡改](/Playbooks/MITRE-ATTACK/Impact/T1491-Defacement-(T1491.001%2CT1491.002).md#playbook-external-defacement **每次提交拉取请求时，必须同时创建一个议题。** - 请阅读[创建新剧本](https://github.com/austinsonger/Cyber-Incident-Response-Playbooks/wiki/Creating-a-New-Playbook)； - 查看可供选择的 [MITRE 技术](https://github.com/austinsonger/Cyber-Incident-Response-Playbooks/wiki/MITRE-Techniques)列表并创建新议题； - 或者您也可以直接查看准备好待处理的议题列表。 ## 当前目标/项目 - 研究如何集成 [Atomic Red Team](https://github.com/redcanaryco/atomic-red-team/) ## 维基 - [创建剧本](https://github.com/austinsonger/Incident-Playbook/wiki/Creating-a-New-Playbook) - [将多项技术合并为一个剧本](https://github.com/austinsonger/Incident-Playbook/wiki/What-do-if-you-think-combining-techniques-into-one-playbook) - [事件响应阶段](https://github.com/austinsonger/Incident-Playbook/wiki/Incident-Response-Phases) ## 贡献者 - [Dominik Sigl](https://github.com/sn0b4ll) ## 赞助商 |赞助商| |---| | | | | | |

标签：Battle Card, Cloudflare, DNS解析, FTP漏洞扫描, Homebrew安装, MITRE ATT&CK, Playbook, TGT, VDI安全, VPN安全, 事件处理流程, 云邮件安全, 初始访问, 剧本, 子域枚举, 安全合规, 安全培训, 安全知识库, 安全编排, 安全运营, 库, 应急响应, 应急响应手册, 开源项目, 战术与技术, 扫描框架, 攻防演练, 网络代理, 网络安全, 防御加固, 隐私保护