building-incident-response-playbook

设计并记录结构化的事件响应手册(Incident Response Playbook),定义与 NIST SP 800-61r3 和 SANS PICERL 框架对齐的特定事件类型逐步处理程序。涵盖手册结构、决策树、升级标准、RACI 矩阵和与 SOAR 平台的集成。适用于 IR 手册创建、事件响应程序文档、响应运行手册(Runbook)开发或 SOAR 手册设计等请求。

9 stars

Best use case

building-incident-response-playbook is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

设计并记录结构化的事件响应手册(Incident Response Playbook),定义与 NIST SP 800-61r3 和 SANS PICERL 框架对齐的特定事件类型逐步处理程序。涵盖手册结构、决策树、升级标准、RACI 矩阵和与 SOAR 平台的集成。适用于 IR 手册创建、事件响应程序文档、响应运行手册(Runbook)开发或 SOAR 手册设计等请求。

Teams using building-incident-response-playbook should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/building-incident-response-playbook/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/building-incident-response-playbook/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/building-incident-response-playbook/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How building-incident-response-playbook Compares

Feature / Agentbuilding-incident-response-playbookStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

设计并记录结构化的事件响应手册(Incident Response Playbook),定义与 NIST SP 800-61r3 和 SANS PICERL 框架对齐的特定事件类型逐步处理程序。涵盖手册结构、决策树、升级标准、RACI 矩阵和与 SOAR 平台的集成。适用于 IR 手册创建、事件响应程序文档、响应运行手册(Runbook)开发或 SOAR 手册设计等请求。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 构建事件响应手册

## 适用场景

- 从零开始建立或完善事件响应(Incident Response)项目
- 在新型攻击发生后为新事件类型记录处理程序
- 在 SOAR 平台(Cortex XSOAR、Splunk SOAR)中自动化响应工作流
- 为需要有文档化 IR 程序的合规审计做准备(SOC 2、PCI-DSS、HIPAA)
- 针对特定威胁场景对现有 IR 能力进行差距分析

**不适用于**一次性临时调查;手册是可复用的程序文档,而非特定案例的报告。

## 前置条件

- 根据可能性和影响识别主要事件场景的组织风险评估
- 已采用 NIST SP 800-61r3 或 SANS PICERL 框架作为组织 IR 标准
- 具有业务关键性评级和数据分类的资产清单
- 定义了以下角色的 RACI 图:事件指挥官、SOC 分析师、系统管理员、法律、通信
- 现有检测能力清单(SIEM 规则、EDR 检测、IDS 特征)
- 如果构建自动化手册,需要 SOAR 平台访问权限

## 工作流程

### 步骤 1:选择和界定事件类型

定义手册将处理的特定场景:

- 根据组织风险评估和历史数据确定主要事件类型
- 将每个手册的范围限定为单一事件类型以确保清晰性(不要合并不相关的场景)
- 定义激活手册的触发条件

常见手册类型:
```
优先手册(首先构建):
1. 勒索软件(Ransomware)事件响应
2. 钓鱼(Phishing)/凭据泄露
3. 商业电子邮件攻击(BEC)
4. 恶意软件感染
5. 数据泄露/外泄(Exfiltration)
6. DDoS 攻击
7. 内部威胁(Insider Threat)
8. 账户接管(Account Takeover)
9. Web 应用程序攻陷
10. 云基础设施攻陷
```

### 步骤 2:定义手册结构

每个手册应遵循一致的结构:

```
手册模板
━━━━━━━━━━━━━━━━
1. 手册元数据
   - 名称、版本、负责人、最后审查日期
   - 触发条件
   - 严重性标准

2. RACI 矩阵
   - 每个步骤的责任人(Responsible)、审批人(Accountable)、咨询对象(Consulted)、知情人(Informed)

3. 检测与分诊(Triage)
   - 事件如何被检测到
   - 初始分诊检查表
   - 严重性分类标准

4. 遏制(Containment)
   - 短期遏制措施
   - 长期遏制措施
   - 证据保全要求

5. 根除(Eradication)
   - 根本原因识别
   - 恶意软件/威胁清除步骤
   - 验证程序

6. 恢复(Recovery)
   - 系统恢复步骤
   - 验证标准
   - 恢复后监控要求

7. 事后处理(Post-Incident)
   - 经验教训会议触发条件
   - 报告模板
   - 检测改进操作

8. 通信
   - 内部通知矩阵
   - 外部通知要求(监管机构、客户、执法部门)
   - 状态更新频率

9. 附录
   - 工具特定程序
   - 联系人列表
   - 证据收集检查表
```

### 步骤 3:编写决策树和升级标准

定义具有二元结果的清晰决策点:

```
收到检测告警
├── 告警是真阳性吗?
│   ├── 是 → 分类严重性
│   │   ├── P1(严重)→ 传呼事件指挥官,立即开始遏制
│   │   ├── P2(高)→ 通知 IR 负责人,30 分钟内开始调查
│   │   ├── P3(中)→ 4 小时内排队调查
│   │   └── P4(低)→ 记录并在 24 小时内调查
│   └── 否 → 记录为误报,调整检测规则
└── 无法确定 → 升级到 Tier 2 进行深入分析
```

升级触发器:
- 任何 P1 事件:立即升级至 IR 负责人和 CISO
- 确认数据外泄:通知法律顾问和隐私保护负责人
- 涉及客户数据:激活客户通知流程
- 涉及第三方:联系供应商安全联系人
- 需要执法部门:法律总顾问授权后再联系

### 步骤 4:定义具体技术程序

为每个步骤编写工具特定的指令(而非通用指南):

```
遏制 - 通过 CrowdStrike 隔离端点:
1. 打开 Falcon 控制台 > Hosts > 搜索受影响的主机名
2. 点击主机 > Host Details
3. 点击右上角的"Contain Host"按钮
4. 确认隔离(主机将只与 CrowdStrike 云通信)
5. 在事件工单中记录遏制操作及时间戳
6. 验证遏制:主机应显示"Contained"状态标志

遏制 - 在 DNS 处封锁 C2 域:
1. SSH 到 DNS 服务器:ssh admin@dns-primary.corp.local
2. 添加到阻止区:echo "zone evil.com { type master; file /etc/bind/db.sinkhole; };" >> /etc/bind/named.conf.local
3. 重新加载 DNS:rndc reload
4. 验证:dig @dns-primary evil.com(应解析到网络陷阱 IP 10.0.0.99)
5. 在事件工单中记录已封锁的域名
```

### 步骤 5:与 SOAR 平台集成

将手动手册步骤转换为自动化工作流:

- 将每个手册步骤映射到 SOAR 操作(API 调用、脚本、人工决策点)
- 定义自动化边界(自动运行什么 vs. 需要分析师审批什么)
- 构建分诊阶段的丰富化自动化
- 为高影响操作创建带审批门控的遏制自动化
- 配置利益相关者通信的通知自动化

### 步骤 6:测试和维护手册

通过演练验证手册并保持时效性:

- 与 IR 团队一起进行桌面演练(Tabletop Exercise),逐步走过手册
- 在测试环境中模拟事件类型进行实战演练
- 每次使用该手册处理真实事件后审查并更新
- 每季度审查联系人列表、工具程序和升级路径的准确性
- 跟踪手册指标:平均遏制时间、平均解决时间、误报率

## 核心概念

| 术语 | 定义 |
|------|------------|
| **手册(Playbook)** | 用于响应特定事件类型的有文档记录的、可重复的程序集合 |
| **运行手册(Runbook)** | 比手册更细粒度;手册中特定任务的逐步技术指令 |
| **RACI 矩阵** | 责任分配图,定义每项活动中谁负责(Responsible)、谁审批(Accountable)、谁咨询(Consulted)、谁知情(Informed) |
| **决策树(Decision Tree)** | 基于每个决策点二元条件定义响应路径的流程图逻辑 |
| **升级标准(Escalation Criteria)** | 触发通知更高级别人员或外部各方的预定义条件 |
| **SOAR 手册** | 在安全编排、自动化和响应(Security Orchestration, Automation, and Response)平台中执行手册步骤的自动化工作流 |

## 工具与系统

- **Cortex XSOAR**:具有可视化手册编辑器、700+ 集成和协作作战室(War Room)的 SOAR 平台
- **Splunk SOAR**:与 Splunk ES 集成的 SOAR 平台,具有拖放手册构建器和 2800+ 自动化操作
- **TheHive**:开源事件响应平台,具有用作手册框架的案例模板
- **Confluence / GitLab Wiki**:用于维护带版本控制的人类可读手册文档的文档平台
- **Tines**:无代码安全自动化平台,无需编程即可构建手册工作流

## 常见场景

### 场景:从零开始构建钓鱼响应手册

**场景背景**:一个拥有 5 人 SOC 的组织没有有文档记录的钓鱼响应程序。分析师处理钓鱼报告的方式不一致。

**方法**:
1. 采访 SOC 分析师,记录他们当前的临时流程
2. 定义触发器:用户通过 abuse@ 邮箱或钓鱼按钮报告钓鱼邮件
3. 编写分诊步骤:提取邮件头、检查发件人信誉、在沙箱中分析 URL/附件
4. 定义遏制:从所有邮箱中隔离邮件、封锁发件人域、如果输入了凭据则重置密码
5. 构建 SOAR 自动化:自动从报告邮件中提取 IOC,通过 VirusTotal 丰富化,在 TheHive 中创建案例
6. 用模拟钓鱼邮件测试并衡量响应时间改善

**常见陷阱**:
- 编写过于通用的程序,不引用特定工具界面或命令
- 未包含通知收到钓鱼邮件的用户的通信计划
- 忘记定义钓鱼报告何时升级为完整事件调查的标准
- 不对手册进行版本控制或安排定期审查周期

## 输出格式

```
事件响应手册(INCIDENT RESPONSE PLAYBOOK)
============================
手册名称:    钓鱼(Phishing)事件响应
版本:        2.1
负责人:      SOC 经理
最后审查:    2025-11-01
下次审查:    2026-02-01
触发器:      通过 abuse@corp.com 或钓鱼按钮报告的钓鱼邮件

RACI 矩阵
活动                    | SOC L1 | SOC L2 | IR 负责人 | 法律 | 通信
初始分诊                |   R    |   C    |   I      |      |
邮件分析                |   R    |   A    |   I      |      |
遏制                    |        |   R    |   A      |   I  |
凭据重置                |        |   R    |   A      |      |
用户通知                |        |   C    |   A      |      |   R
监管通知                |        |        |   C      |   R  |   A
经验教训                |   C    |   C    |   R      |   I  |   I

程序步骤
[详细步骤,含工具特定指令]

决策树
[流程图逻辑]

升级矩阵
[条件和联系人]

指标
目标 MTTA:15 分钟
目标 MTTC:1 小时
目标 MTTR:4 小时
```

Related Skills

triaging-security-incident

9
from killvxk/cybersecurity-skills-zh

使用 NIST SP 800-61r3 和 SANS PICERL 框架对安全事件进行初始分类,确定严重性、范围和所需响应行动。 按类型对事件分类,根据业务影响分配优先级,并路由到相应的响应团队。适用于事件分类、 安全告警分类、严重性评估、事件优先级排序或初始事件分析等请求场景。

triaging-security-incident-with-ir-playbook

9
from killvxk/cybersecurity-skills-zh

使用结构化 IR Playbook 对安全事件进行分类和优先排序,确定严重性、分配响应团队并启动适当的响应程序。

performing-ransomware-response

9
from killvxk/cybersecurity-skills-zh

执行结构化的勒索软件事件响应,从初始检测到遏制、取证分析、解密评估、恢复和事后加固。 处理勒索谈判考量、备份完整性验证和法规通知要求。适用于勒索软件响应、 勒索软件恢复、加密勒索软件、数据加密攻击、赎金支付决策或勒索软件遏制等请求场景。

performing-ransomware-incident-response

9
from killvxk/cybersecurity-skills-zh

执行结构化的勒索软件事件响应,包括遏制、解密评估、从备份恢复以及根除勒索软件持久化机制。

performing-cloud-incident-containment-procedures

9
from killvxk/cybersecurity-skills-zh

在 AWS、Azure 和 GCP 中执行云原生事件遏制,包括隔离受攻陷资源、撤销凭据、保全取证证据,以及应用安全组限制以防止横向移动。

investigating-phishing-email-incident

9
from killvxk/cybersecurity-skills-zh

调查钓鱼(Phishing)邮件事件,从初始用户举报开始,经过邮件头分析、URL/附件引爆、 受影响用户识别和遏制行动,使用 Splunk、Microsoft Defender 和沙箱分析平台等 SOC 工具。 适用于收到的钓鱼邮件举报需要进行完整事件调查以确定范围和影响时。

implementing-ticketing-system-for-incidents

9
from killvxk/cybersecurity-skills-zh

实施集成事件工单系统,将 SIEM 告警对接 ServiceNow、Jira 或 TheHive, 用于结构化事件跟踪、SLA 管理、升级工作流和合规文档记录。 适用于 SOC 团队需要通过自动化工单创建、分配路由和解决跟踪来规范事件生命周期管理时。

implementing-soar-playbook-with-palo-alto-xsoar

9
from killvxk/cybersecurity-skills-zh

在 Cortex XSOAR 中实施自动化事件响应剧本,跨 SOC 工具编排安全工作流并缩短手动响应时间。

implementing-soar-playbook-for-phishing

9
from killvxk/cybersecurity-skills-zh

使用 Splunk SOAR REST API 自动化网络钓鱼事件响应,包括创建容器、添加制品并触发剧本

implementing-ot-incident-response-playbook

9
from killvxk/cybersecurity-skills-zh

按照SANS PICERL框架、IEC 62443和NIST SP 800-82,开发并实施OT专用事件响应剧本,解决包括安全关键系统、有限停机容忍度以及IT SOC、OT工程和工厂运营团队协调等ICS特有挑战。

conducting-post-incident-lessons-learned

9
from killvxk/cybersecurity-skills-zh

主持结构化的事件后审查,以识别根本原因、记录有效和无效的措施,并提出可操作的改进建议以提升未来的事件响应能力。

conducting-phishing-incident-response

9
from killvxk/cybersecurity-skills-zh

通过分析举报的邮件、提取指标、评估凭据受攻陷情况、在全组织范围隔离恶意邮件并修复受影响账号来响应网络钓鱼事件。涵盖邮件头分析、URL/附件沙箱检测和邮箱范围清除操作。适用于网络钓鱼响应、邮件事件、凭据钓鱼、鱼叉式网络钓鱼调查或钓鱼修复相关请求。