uvsq22406972/SOAR_Playbook

英文版本请参阅 README_EN.md # SOAR_Playbook 利用集成 AI 分析组件的自动化引擎实现 SOC 告警自动化 ## 目标 本项目展示了如何构建一个能够自动检测、分析和记录安全告警的微型 SOC。 其核心思路是复现一个简单但贴近现实的 incident 处理流程：从安全事件的产生，到最终生成一份可供 SOC 分析师使用的报告。 ## 运作机制描述 该项目基于对真实环境中多个要素的整合。安全事件首先通过 HTTP Event Collector (HEC) 机制发送到 Splunk。随后，通过一个 Python 脚本定期查询 Splunk 的 REST API 来执行检测。一旦发现告警，就会向本地服务触发一个 webhook，进而执行 SOAR playbook。该 playbook 负责解析告警、计算优先级评分、应用决策逻辑，并自动生成 incident 报告。在此过程中引入了 AI 辅助功能，用于辅助分析并提升最终报告的可读性。 因此，该项目模拟了一条完整的处理链路： 安全事件 -> SIEM (Splunk) -> 检测 -> webhook -> SOAR playbook -> incident 报告。 ## 执行 要启动该项目，首先需要启动 webhook 服务器： ``` python -m serveur.webhook ``` 接着，需要启动 Splunk 检测脚本： ``` python caller_splunk.py ``` 当这两个服务都处于活动状态后，向 Splunk 注入测试事件（使用 curl）将自动触发告警处理流程，并在 `rapports/` 目录下生成报告。

标签：AI, AMSI绕过, API, HEC, HTTP Event Collector, Incident Response, LLM, PB级数据处理, Playbook, Python, SOAR, Unmanaged PE, Webhook, 人工智能, 剧本, 力导向图, 威胁检测, 安全报告, 安全编排与自动化响应, 安全运维, 安全运营中心, 无后门, 构建工具, 用户模式Hook绕过, 网络安全, 网络映射, 网络调试, 自动化, 自动化代码审查, 警报关联, 警报分类, 逆向工具, 隐私保护