1
incident_response = {
2
    "准备阶段": [
3
        "制定 IRP 计划",
4
        "建立响应团队",
5
        "配置监控工具",
6
        "准备响应工具包",
7
        "定期演练"
8
    ],
9
    "检测阶段": [
10
        "收集告警信息",
11
        "确认是否为真实事件",
12
        "评估影响范围",
13
        "确定事件级别"
14
    ],
15
    "遏制阶段": [
16
        "隔离受感染系统",
17
        "阻断攻击路径",
18
        "保存证据",
19
        "通知相关方"
20
    ],
21
    "根除阶段": [
22
        "清除恶意软件",
23
        "修复漏洞",
24
        "重置凭据",
25
        "加强监控"
26
    ],
27
    "恢复阶段": [
28
        "恢复系统服务",
29
        "验证完整性",
30
        "逐步恢复正常运营",
31
        "加强防护措施"
32
    ],
33
    "事后分析": [
34
        "编写事件报告",
35
        "提取经验教训",
36
        "更新 IRP",
37
        "改进防护措施"
38
    ]
39
}

1
guardduty_findings = {
2
    "Reconnaissance": [
3
        "Reconnaissance:IAMUser/NetworkInterfaceProbe",
4
        "Reconnaissance:IAMUser/PortProbeUnprotectedPort"
5
    ],
6
    "InstanceCompromise": [
7
        "Trojan:EC2/BlackholeTraffic",
8
        "CryptoMining:EC2/SuspiciousCertificate"
9
    ],
10
    "AccountCompromise": [
11
        "Policy:IAMUser/CloudTrailDisabled",
12
        "CredentialAccess:IAMUser/ConsoleLogin"
13
    ],
14
    "DataExfiltration": [
15
        "Exfiltration:S3/DataExtension"
16
    ]
17
}

1
# CloudWatch 告警
2
alarm:
3
  name: "High API Activity"
4
  metric: "CallCount"
5
  namespace: "AWS/ApiGateway"
6
  statistic: "Sum"
7
  period: 300
8
  threshold: 10000
9
  comparisonOperator: "GreaterThanThreshold"
10
  evaluationPeriods: 2
11
  alarmActions:
12
    - arn:aws:sns:region:account:my-alarm-topic

1
siem_features = {
2
    "日志收集": ["系统日志", "应用日志", "网络流量", "云日志"],
3
    "日志解析": ["结构化处理", "正则提取", "字段映射"],
4
    "威胁检测": ["规则匹配", "异常检测", "机器学习"],
5
    "事件关联": ["时间关联", "因果关联", "跨源关联"],
6
    "响应": ["自动封锁", "工单创建", "SOAR 集成"]
7
}

1
trail:
2
  name: "security-trail"
3
  s3_bucket: "my-trail-bucket"
4
  include_global_service_events: true
5
  is_multi_region: true
6
  enable_log_file_validation: true
7
  enable_logging: true
8
  event_selectors:
9
    - read_write_type: "All"
10
      include_management_events: true
11
      data_resources:
12
        - type: "AWS::S3::Object"
13
          values:
14
            - "arn:aws:s3:::my-bucket/*"

1
retention_policy = {
2
    "热存储": "30 天（频繁查询）",
3
    "温存储": "90 天（分析调查）",
4
    "冷存储": "1 年（合规要求）",
5
    "归档": "7 年（金融/医疗）"
6
}
7

8
# WORM 存储要求
9
worm_requirements = {
10
    "金融行业": "5-7 年",
11
    "医疗行业": "6 年（HIPAA）",
12
    "上市公司": "7 年（SEC）"
13
}

1
data_breach_response = """
2
1. 确认泄露 (< 1 小时)
3
   - 识别泄露的数据类型和范围
4
   - 确定泄露时间窗口
5
   - 评估受影响用户数量
6

7
2. 即时响应
8
   - 关闭泄露路径
9
   - 隔离受影响系统
10
   - 保存证据
11
   - 激活 IR 团队
12

13
3. 评估影响
14
   - 识别敏感数据类型 (PII/PCI/PHI)
15
   - 评估业务影响
16
   - 确定监管报告要求
17

18
4. 通知 (< 72 小时)
19
   - 监管机构 (GDPR: 72h)
20
   - 受害用户
21
   - 业务合作伙伴
22

23
5. 补救措施
24
   - 修复漏洞
25
   - 加强访问控制
26
   - 法律行动
27
"""

1
account_compromise_indicators = [
2
    "异常登录位置/时间",
3
    "未授权配置变更",
4
    "大量 API 调用",
5
    "账单异常",
6
    "新创建的 IAM 用户",
7
    "修改的安全设置"
8
]

1
account_compromise_response = """
2
1. 立即行动 (< 15 分钟)
3
   - 禁用受损凭证
4
   - 撤销所有活动会话
5
   - 启用 MFA（如未启用）
6

7
2. 调查范围
8
   - CloudTrail/Activity Log 分析
9
   - API 调用审计
10
   - 数据访问审计
11
   - 持久性检查（后门）
12

13
3. 恢复步骤
14
   - 重置所有凭据
15
   - 重建受感染资源
16
   - 恢复最近已知良好备份
17
   - 加强安全配置
18
"""

1
security_metrics:
2
  IAM:
3
    - IAM 用户数量
4
    - 无 MFA 用户数
5
    - 长期访问密钥
6
  S3:
7
    - 公开访问 bucket 数
8
    - 未加密 bucket 数
9
  EC2:
10
    - 开放敏感端口数
11
    - 未受管实例数
12
  CloudTrail:
13
    - 日志启用状态
14
    - 日志完整性

1
automated_response:
2
  - trigger: "GuardDuty Finding - CryptoMining"
3
    action:
4
      - 隔离 EC2 实例
5
      - 暂停账户
6
      - 通知 SOC
7

8
  - trigger: "异常 API 调用量"
9
    action:
10
      - 增加监控
11
      - 审查 CloudTrail
12
      - 通知安全团队