TGKDre/incident-response-playbook

GitHub: TGKDre/incident-response-playbook

这是一个基于NIST框架的开源事件响应手册,提供分阶段响应程序以应对网络安全威胁。

Stars: 2 | Forks: 2

# 事件响应手册 ![License](https://img.shields.io/badge/license-MIT-blue?style=flat) ![Standard](https://img.shields.io/badge/standard-NIST%20CSF-informational?style=flat) ![Tools](https://img.shields.io/badge/tools-Splunk%20%7C%20Okta-orange?style=flat) 一份结构化的开源事件响应指南,按照 NIST 网络安全框架的响应生命周期组织。涵盖从检测到事后复盘的最常见企业威胁类别,并集成了 Splunk(SIEM)和 Okta(IAM)的工具参考。 ## 目录 - [概述](#overview) - [文件夹结构](#folder-structure) - [关键工具](#key-tools) - [使用方法](#how-to-use) - [快速入门](#getting-started) - [作者](#author) ## 概述 本手册为从网络钓鱼、凭证泄露到勒索软件和内部威胁等各类网络安全事件,提供了可操作的、分阶段的响应程序。每个文件夹对应 IR 生命周期的一个特定阶段,包含旨在缩短平均响应时间(MTTR)的模板、检查清单和自动化脚本。 本手册遵循 **NIST 网络安全框架**,并设计为可开箱即用地与企业工具集成。 ## 文件夹结构 ``` incident-response-playbook/ ├── preparation/ Guides for training, risk assessments, and baseline configuration ├── detection/ Processes for identifying incidents using monitoring tools and threat intel ├── containment/ Strategies to limit damage: network segmentation, account lockdowns ├── eradication/ Procedures to remove malicious elements from systems and networks ├── recovery/ Steps to restore normal operations and verify no residual threats ├── legal-compliance/ Protocols for regulatory reporting and legal obligations ├── metrics-reporting/ Templates for tracking and reporting incident metrics ├── tools-resources/ Key tool references, checklists, and configurations ├── lessons-learned/ Post-incident review templates for continuous improvement ├── threat-intel/ Guidance on gathering, analyzing, and applying threat data └── communication/ Stakeholder notification plans and evidence preservation protocols ``` ## 关键工具 **Splunk (SIEM)** — 集中式日志管理、威胁检测和告警。在检测和指标阶段用于关联规则、仪表板和快速分类。 **Okta (IAM)** — 强制执行访问控制策略,监控登录活动,并在事件发生期间支持快速锁定账户。集成在遏制阶段。 ## 使用方法 ``` git clone https://github.com/TGKDre/incident-response-playbook.git ``` 导航到与您当前响应阶段相匹配的文件夹。应用其中的 Markdown 模板来指导您的操作。在部署前,请根据您组织的环境自定义工具引用、联系人列表和上报路径。 ## 快速入门 首次进行事件响应时,请从 `preparation/` 文件夹开始,审查基线要求并确认工具已就绪。然后转到 `detection/` 识别威胁类别,接着按照 `containment/` 和 `eradication/` 的流程管理活跃事件。使用 `recovery/` 和 `lessons-learned/` 来彻底完成收尾工作。 如需问题解答或特定工具指导,请参阅 `tools-resources/` 文件夹。 ## 作者 **Andre Uzoukwu** — IAM 与网络安全工程师 - GitHub: [@TGKDre](https://github.com/TGKDre) - LinkedIn: [linkedin.com/in/andre-uzoukwu-tgkdre](https://www.linkedin.com/in/andre-uzoukwu-tgkdre/) - Email: andre.obiuzo@gmail.com
标签:NIST框架, Okta, PB级数据处理, 事件处理, 企业安全, 内部威胁, 凭证泄露, 勒索软件, 威胁管理, 安全指南, 安全运维, 开源, 恢复流程, 指标报告, 数字取证, 数据防泄漏, 根除程序, 检测响应, 法律合规, 网络安全, 网络资产管理, 脚本自动化, 自动化脚本, 遏制策略, 防御加固, 隐私保护