# Case Note Template

## 基本信息

- Case ID:
- 标题:
- 告警类型:
- 来源系统:
- 时间范围:
- 研判人 / Agent:
- 最终结论:
- 严重等级:

## 告警摘要

一句话概述这次 case 的核心问题。

## 关键实体

- 用户:
- 主机:
- 邮箱:
- IP:
- 域名:
- 文件 Hash:
- 其他 IOC:

## 关键证据

- 证据 1:
- 证据 2:
- 证据 3:

## 研判过程摘要

只保留对后续复用有价值的关键步骤，不记录所有原始过程。

1. 
2. 
3. 

## 结论依据

- 为什么判定为真报 / 误报 / 可疑待定
- 哪些信号最关键

## 处置建议

- 
- 

## 可复用模式

- 命中模式:
- 误报特征:
- 需关注的变体:

## 关联知识

- 关联 Playbook:
- 关联 KB:
- 关联历史 Case:
- 关联实体:

## Lessons Learned

- 本案新增了什么可复用经验
- 哪些规则、知识或流程应更新

## 标签

- `#case`
- `#alert/...`
- `#verdict/true-positive`
- `#verdict/false-positive`
- `#ttp/...`