77 lines
977 B
Markdown
77 lines
977 B
Markdown
# Case Note Template
|
|
|
|
## 基本信息
|
|
|
|
- Case ID:
|
|
- 标题:
|
|
- 告警类型:
|
|
- 来源系统:
|
|
- 时间范围:
|
|
- 研判人 / Agent:
|
|
- 最终结论:
|
|
- 严重等级:
|
|
|
|
## 告警摘要
|
|
|
|
一句话概述这次 case 的核心问题。
|
|
|
|
## 关键实体
|
|
|
|
- 用户:
|
|
- 主机:
|
|
- 邮箱:
|
|
- IP:
|
|
- 域名:
|
|
- 文件 Hash:
|
|
- 其他 IOC:
|
|
|
|
## 关键证据
|
|
|
|
- 证据 1:
|
|
- 证据 2:
|
|
- 证据 3:
|
|
|
|
## 研判过程摘要
|
|
|
|
只保留对后续复用有价值的关键步骤,不记录所有原始过程。
|
|
|
|
1.
|
|
2.
|
|
3.
|
|
|
|
## 结论依据
|
|
|
|
- 为什么判定为真报 / 误报 / 可疑待定
|
|
- 哪些信号最关键
|
|
|
|
## 处置建议
|
|
|
|
-
|
|
-
|
|
|
|
## 可复用模式
|
|
|
|
- 命中模式:
|
|
- 误报特征:
|
|
- 需关注的变体:
|
|
|
|
## 关联知识
|
|
|
|
- 关联 Playbook:
|
|
- 关联 KB:
|
|
- 关联历史 Case:
|
|
- 关联实体:
|
|
|
|
## Lessons Learned
|
|
|
|
- 本案新增了什么可复用经验
|
|
- 哪些规则、知识或流程应更新
|
|
|
|
## 标签
|
|
|
|
- `#case`
|
|
- `#alert/...`
|
|
- `#verdict/true-positive`
|
|
- `#verdict/false-positive`
|
|
- `#ttp/...`
|