Mo3z-Sec/incident-response-automation

# 自动化 IR Playbook 系统 ## 概述 **自动化 IR Playbook 系统**是一个基于 Python 的安全自动化工具，旨在模拟微型安全运营中心 (SOC)。 它连接到 **Wazuh**（一款免费的 SIEM），以从受监控的终端收集告警，并自动执行 **预定义的事件响应 playbook**。 可选的 **AI 模块**可以总结事件并生成人类可读的报告，使分析更加快速且易于理解。 **关键特性：** 可通过 bash 终端使用单条命令 (`./run_ir.sh`) 完全执行，因此任何人都可以克隆仓库并进行测试。 ## 工作原理（高层视角） 1. **检测：** Wazuh Agent 监控终端并生成告警（例如，SSH 暴力破解、恶意软件）。 2. **告警摄入：** Python IR Engine 通过 Wazuh API 拉取告警。 3. **Playbook 匹配：** 基于 YAML 的规则决定采取哪些操作。 4. **自动响应：** Python 执行操作，例如封禁 IP、终止进程或隔离主机。 5. **AI 辅助分类：** 可选模块生成人类可读的事件摘要。 6. **报告：** 详细的审计就绪报告保存在 `/reports/` 中。 **架构图：**  ## 核心组件 | 组件 | 角色 | |-----------|------| | Wazuh | 用于告警检测的 SIEM | | Python IR Engine | 自动化摄入、playbook 匹配和操作 | | Playbooks (YAML) | 定义事件规则 | | AI Module | 生成摘要和事件报告 | | Bash Script (`run_ir.sh`) | 使用一条命令启动系统 | | Docker Compose | 启动 Wazuh + Elastic 容器 | ## 使用的技术 - Python 3.11 - Docker & Docker Compose - Wazuh SIEM - YAML (playbooks) - AI (OpenAI GPT 或可选的本地模型) - Bash (一键执行)

标签：AMSI绕过, Cloudflare, Docker, Incident Response, Log Analysis, MITRE ATT&CK, PE 加载器, Python, Security Automation, SSH暴力破解防护, Wazuh, YAML配置, 人工智能, 剧本执行, 威胁检测, 安全编排与自动化响应, 安全运营中心, 安全防御评估, 库, 应急响应, 应用安全, 恶意软件处理, 无后门, 智能分类, 用户模式Hook绕过, 端点安全, 网络安全, 网络映射, 自动化运维, 自动报告, 补丁管理, 请求拦截, 隐私保护