Initial SOC memory POC implementation

obsidian-vault/05_Templates/case-note-template.md

@@ -0,0 +1,76 @@
+# Case Note Template
+
+## 基本信息
+
+- Case ID:
+- 标题:
+- 告警类型:
+- 来源系统:
+- 时间范围:
+- 研判人 / Agent:
+- 最终结论:
+- 严重等级:
+
+## 告警摘要
+
+一句话概述这次 case 的核心问题。
+
+## 关键实体
+
+- 用户:
+- 主机:
+- 邮箱:
+- IP:
+- 域名:
+- 文件 Hash:
+- 其他 IOC:
+
+## 关键证据
+
+- 证据 1:
+- 证据 2:
+- 证据 3:
+
+## 研判过程摘要
+
+只保留对后续复用有价值的关键步骤，不记录所有原始过程。
+
+1. 
+2. 
+3. 
+
+## 结论依据
+
+- 为什么判定为真报 / 误报 / 可疑待定
+- 哪些信号最关键
+
+## 处置建议
+
+- 
+- 
+
+## 可复用模式
+
+- 命中模式:
+- 误报特征:
+- 需关注的变体:
+
+## 关联知识
+
+- 关联 Playbook:
+- 关联 KB:
+- 关联历史 Case:
+- 关联实体:
+
+## Lessons Learned
+
+- 本案新增了什么可复用经验
+- 哪些规则、知识或流程应更新
+
+## 标签
+
+- `#case`
+- `#alert/...`
+- `#verdict/true-positive`
+- `#verdict/false-positive`
+- `#ttp/...`

obsidian-vault/05_Templates/playbook-template.md

@@ -0,0 +1,59 @@
+# Playbook Template
+
+## 基本信息
+
+- 名称:
+- 适用告警类型:
+- 场景:
+- 最近更新时间:
+- 负责人:
+
+## 场景描述
+
+这个 playbook 解决什么问题，适用于哪些前置条件。
+
+## 输入信号
+
+- 必要信号:
+- 可选信号:
+- 常见数据源:
+
+## 调查步骤
+
+1. 
+2. 
+3. 
+
+## 关键判断点
+
+- 什么情况下倾向真报
+- 什么情况下倾向误报
+- 哪些证据最关键
+
+## 常见误报模式
+
+- 
+- 
+
+## 常见真报模式
+
+- 
+- 
+
+## 升级 / 处置建议
+
+- 
+- 
+
+## 关联内容
+
+- 相关 Case:
+- 相关 KB:
+- 相关 IOC:
+- 相关 TTP:
+
+## 标签
+
+- `#playbook`
+- `#alert/...`
+- `#ttp/...`

obsidian-vault/05_Templates/report-summary-template.md

@@ -0,0 +1,52 @@
+# Report Summary Template
+
+## 基本信息
+
+- 标题:
+- 来源:
+- 日期:
+- 作者 / 团队:
+- 类型:
+
+## 核心摘要
+
+用 3 到 5 句话总结对 SOC 研判最有帮助的内容。
+
+## 关键发现
+
+- 发现 1:
+- 发现 2:
+- 发现 3:
+
+## 关键实体
+
+- 攻击者:
+- 工具:
+- 域名 / IP:
+- Hash:
+- 邮件主题 / 发件特征:
+
+## 对 SOC 的实际价值
+
+- 对哪些告警类型有帮助
+- 对哪些 playbook 需要更新
+- 对哪些规则或研判路径有启发
+
+## 可沉淀记忆
+
+- 哪些内容适合作为 Knowledge Memory
+- 哪些内容适合作为 Case Pattern
+
+## 关联内容
+
+- 关联 KB:
+- 关联 Playbook:
+- 关联 Case:
+- 关联 TTP:
+
+## 标签
+
+- `#report`
+- `#intel`
+- `#ttp/...`
+- `#campaign/...`