ed1s0nz/incident-response
skills/incident-response/SKILL.md
安全事件响应的专业技能和方法论
$ install --global
skillsauthnpx skillsauth add ed1s0nz/cyberstrikeai incident-responseInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 15, 2026, 5:24 PM18.9s1 file scanned
SKILL.md
- name:
- incident-response
- description:
- 安全事件响应的专业技能和方法论
- version:
- 1.0.0
安全事件响应
概述
安全事件响应是处理安全事件的关键流程。本技能提供安全事件响应的方法、工具和最佳实践。
响应流程
1. 准备阶段
准备工作:
- 建立响应团队
- 制定响应计划
- 准备工具和资源
- 建立通信渠道
2. 识别阶段
识别事件:
- 监控告警
- 异常检测
- 日志分析
- 用户报告
3. 遏制阶段
遏制措施:
- 隔离受影响系统
- 禁用账户
- 阻断网络连接
- 备份证据
4. 清除阶段
清除威胁:
- 移除恶意软件
- 修复漏洞
- 重置凭证
- 清理后门
5. 恢复阶段
恢复系统:
- 恢复备份
- 验证系统完整性
- 监控系统
- 逐步恢复服务
6. 总结阶段
总结经验:
- 事件报告
- 经验教训
- 改进措施
- 更新流程
工具使用
日志分析
使用Splunk:
# 搜索日志
index=security event_type="failed_login"
# 统计分析
index=security | stats count by src_ip
# 时间序列分析
index=security | timechart count by event_type
使用ELK:
# Elasticsearch查询
GET /logs/_search
{
"query": {
"match": {
"event_type": "malware"
}
}
}
取证工具
使用Volatility:
# 分析内存镜像
volatility -f memory.dump imageinfo
# 列出进程
volatility -f memory.dump --profile=Win7SP1x64 pslist
# 提取进程内存
volatility -f memory.dump --profile=Win7SP1x64 memdump -p 1234 -D output/
使用Autopsy:
# 启动Autopsy
# 创建案例
# 添加证据
# 分析数据
网络分析
使用Wireshark:
# 捕获流量
wireshark -i eth0
# 分析PCAP文件
wireshark -r capture.pcap
# 过滤流量
# 显示过滤器: ip.addr == 192.168.1.100
# 捕获过滤器: host 192.168.1.100
使用tcpdump:
# 捕获流量
tcpdump -i eth0 -w capture.pcap
# 分析流量
tcpdump -r capture.pcap -A
事件类型
恶意软件
响应步骤:
- 隔离受影响系统
- 收集样本
- 分析恶意软件
- 清除威胁
- 修复漏洞
工具:
- VirusTotal
- Cuckoo Sandbox
- YARA规则
数据泄露
响应步骤:
- 确认泄露范围
- 遏制泄露
- 评估影响
- 通知相关方
- 修复漏洞
检查项目:
- 泄露数据量
- 受影响用户
- 泄露渠道
- 数据敏感性
拒绝服务
响应步骤:
- 确认攻击类型
- 启用防护措施
- 过滤恶意流量
- 监控系统状态
- 恢复正常服务
防护措施:
- DDoS防护服务
- 流量清洗
- 限流措施
- CDN防护
未授权访问
响应步骤:
- 禁用受影响账户
- 重置凭证
- 检查访问日志
- 评估数据访问
- 修复漏洞
检查项目:
- 访问时间
- 访问内容
- 访问来源
- 数据修改
响应清单
准备阶段
- [ ] 建立响应团队
- [ ] 制定响应计划
- [ ] 准备工具
- [ ] 建立通信渠道
识别阶段
- [ ] 确认事件
- [ ] 收集信息
- [ ] 评估影响
- [ ] 记录时间线
遏制阶段
- [ ] 隔离系统
- [ ] 禁用账户
- [ ] 阻断连接
- [ ] 备份证据
清除阶段
- [ ] 移除威胁
- [ ] 修复漏洞
- [ ] 重置凭证
- [ ] 验证清除
恢复阶段
- [ ] 恢复系统
- [ ] 验证完整性
- [ ] 监控系统
- [ ] 恢复服务
总结阶段
- [ ] 编写报告
- [ ] 总结经验
- [ ] 改进措施
- [ ] 更新流程
最佳实践
1. 准备
- 建立响应团队
- 制定响应计划
- 定期演练
- 准备工具
2. 响应
- 快速响应
- 系统化处理
- 记录所有操作
- 保护证据
3. 沟通
- 内部沟通
- 外部通知
- 状态更新
- 事后报告
4. 改进
- 事件分析
- 流程改进
- 工具更新
- 培训提升
注意事项
- 快速响应
- 保护证据
- 记录操作
- 遵守法律法规
Related Skills
ed1s0nz/cyberstrike-eino-demo
tools
VerifiedTrustedCommunity
满配示例技能包:SKILL.md + scripts/、references/、assets/ 等可选目录;验证 Eino skill 与 HTTP 包内路径(仅授权安全测试与教学)。
3,393SKILL.mdUpdated Apr 21, 2026
ed1s0nz/xxe-testing
testing
VerifiedTrustedCommunity
XXE XML外部实体注入测试的专业技能和方法论
3,309SKILL.mdUpdated Apr 15, 2026
ed1s0nz/xss-testing
testing
VerifiedTrustedCommunity
XSS跨站脚本攻击测试的专业技能
3,309SKILL.mdUpdated Apr 15, 2026
ed1s0nz/xpath-injection-testing
testing
VerifiedTrustedCommunity
XPath注入漏洞测试的专业技能和方法论
3,309SKILL.mdUpdated Apr 15, 2026