luduslibrum/awesome-playbooks

# 精彩的剧本 [](https://github.com/luduslibrum/awesome-playbooks) [](http://isitmaintained.com/project/luduslibrum/awesome-playbooks "仍未关闭的 Issue 百分比") [](https://github.com/luduslibrum/awesome-playbooks/network) [](https://github.com/luduslibrum/awesome-playbooks/stargazers) | 供应商 | 剧本 | 格式 | 链接 | | --- | --- | --- | --- | | Catalyst | 3 | YAML | [/playbooks/catalyst](playbooks/catalyst) | | Cortex XSOAR | 131 | YAML | [/playbooks/xsoar](playbooks/xsoar) | | Cisa IR playbooks | 81 | BPMN | [/playbooks/cisa](playbooks/cisa) | | Palo Alto Demisto | 59 | YAML | [/playbooks/demisto](playbooks/demisto) | | Fortinet FortiSOAR | 193 | JSON | [/playbooks/fortinet](playbooks/fortinet) | | Guardsight | 55 | PDF | [/playbooks/guard\_sight](playbooks/guard_sight) | | IACD Automate | 9 | BPMN | [/playbooks/iacd\_automate](playbooks/iacd_automate) | | LogicHub SOAR | 70 | JSON | [/playbooks/logichub](playbooks/logichub) | | Microsoft | 4 | PNG | [/playbooks/microsoft](playbooks/microsoft) | | MS Azure Sentinel | 217 | JSON | [/playbooks/ms\_azure](playbooks/ms_azure) | | OasisOpen | 1 | JSON | [/playbooks/oasis\_open](playbooks/oasis_open) | | Rapid7 Insightconnect | 214 | ICON | [/playbooks/rapid7](playbooks/rapid7) | | Resolve | 149 | XML | [/playbooks/resolve](playbooks/resolve) | | Shuffle Automation | 18 | JSON | [/playbooks/shuffle](playbooks/shuffle) | | Chronicle Security | 4 | JSON | [/playbooks/siemplify](playbooks/chronicle) | | Splunk SOAR | 119 | JSON | [/playbooks/splunk](playbooks/splunk) | | ThreatConnect | 83 | PBX(Z) | [/playbooks/threat\_connect](playbooks/threat_connect) | | Tines | 87 | JSON | [/playbooks/tines](playbooks/tines) | ## 事件响应剧本 事件响应“剧本”是组织使用的一套结构化操作程序，用于指导人类或机器针对网络安全威胁执行防御措施。这些剧本通常结合了有关特定威胁的信息以及组织背景相关的组织层面信息。这两类信息对于在组织间使用、维护和共享剧本至关重要，因为它们能确保有效性和保密性。 虽然从业者对剧本表现出极大的兴趣，但从研究角度来看，其特征尚未得到彻底调查。因此，我们通过分析剧本的内容来探讨这一主题。我们的方法包括对可用数据（1217 个剧本）进行的全面实证评估、一项有 147 名参与者参与的在线研究，以及最后与九位安全专家进行的深度访谈，以巩固和验证我们的发现。 我们特别发现，从业者和组织在定义其剧本的方式上存在内在的模糊性。此外，我们注意到现有的剧本无法直接使用，这可能会阻碍其在不同网络安全参与者之间的广泛应用。因此，我们可以得出结论：组织确实在“照章办事”，但却独立定义了其剧本的内容以及它们可能涉及的事件响应领域。 ## 方法论 此外，我们对剧本及其步骤提供了结构和内容分析。一方面，我们查看各个供应商的架构并从中推导出一个元剧本（[前往架构](schemas/)）。此外，我们分析了剧本的内容，比较了各个步骤，并形成了分类（[前往分析](analysis/)）。  ## 影响因素 我们采访了九位专家，并进行了一项 n=147 的在线研究，以收集有关事件响应流程的信息。为保护参与者的隐私，收集的数据不予公布，但我们发布了访谈和问卷的结构与内容（[前往因素](factors/)）。 ## 贡献 我们鼓励网络安全社区做出贡献，使这个仓库成为一个有价值和最新的资源。如果您有新的事件响应剧本、事件分析报告或对现有内容的改进，我们欢迎您的贡献。 贡献方式： 1. Fork 该仓库并创建您的分支 (`git checkout -b my-contribution`) 2. 进行您的更改并提交 (`git commit -m 'Added a new playbook'`) 3. 将更改推送到您 Fork 的仓库 (`git push origin my-contribution`) 4. 向本仓库的 `main` 分支发起 Pull Request。 ## 研究引用 如果您在研究中使用我们的 **Awesome-Playbooks**，请考虑引用我们的出版物： ``` @InProceedings{Schlette2023, author = {Daniel Schlette and Philip Empl and Marco Caselli and Thomas Schreck and G{\"u}nther Pernul}, title = {Do You Play It by the Books? A Study on Incident Response Playbooks and Influencing Factors}, booktitle = {Proceedings of the 45th IEEE Symposium on Security and Privacy, {SP} 2024, San Francisco, CA, USA, May 20-23, 2024}, pages = {1--19}, publisher = {{IEEE}}, year={2024} } ``` ## 问题 感谢您访问我们的事件响应剧本和分析合集仓库。我们希望该资源能帮助您有效地处理网络安全事件，并为数字世界的集体安全做出贡献。 如果您有任何问题或建议，请随时联系我们或在仓库中创建 Issue。 祝分析与响应愉快！

标签：Awesome, Azure Sentinel, BPMN, Cortex XSOAR, DNS解析, FortiSOAR, FTP漏洞扫描, Homebrew安装, JSON, Libemu, Libemu, Rapid7, SecOps, SOAR, Splunk SOAR, Tines, YAML, 云安全架构, 安全剧本, 安全库, 安全编排, 安全运营, 工作流自动化, 库, 应急响应, 开源项目, 扫描框架, 系统管理, 网络安全, 自动化响应, 隐私保护