PrasanthNarava/Vulnerability-Management-Wazuh-IRIS
GitHub: PrasanthNarava/Vulnerability-Management-Wazuh-IRIS
连接 Wazuh SIEM 与 DFIR-IRIS 事件响应平台,通过 Ansible 自动化脚本实现漏洞从发现、工单分发到精准补丁修复的完整生命周期管理。
Stars: 0 | Forks: 0
# SecOps 漏洞管理
本代码仓库包含用于处理自动化安全运营的自动化脚本和 Ansible playbook。
与其手动审查每天数千条安全警报并猜测哪些需要修补,这段代码自动化了整个生命周期:它发现漏洞,将其分组为可读的工单,并在不让服务器下线的情况下安全地应用更新。
这解决了什么问题?
**阻止警报疲劳**:它将数百个单独的软件缺陷合并为一个清晰的每日或每周工单。
安全修补:它在接触任何代码之前自动进行服务器备份(AWS 快照)。
ISO 27001 合规性:它强制要求在严格的时间范围内(SLA)修复高、中、低危漏洞,使我们始终保持审计准备状态。
**我们使用的工具**
此自动化作为三个主要平台之间的桥梁:
**Wazuh (SIEM/XDR)**:扫描我们的服务器并发现过时或存在漏洞的软件。
**DFIR-IRIS (响应工单工具)**:我们的工单系统,脚本在此系统中为团队创建合并的案例以供审查。
**Ansible AWX (自动化)**:该工具用于登录服务器、进行备份并安装安全更新。
**本代码仓库包含什么?**
### 1. 警报过滤脚本
这些脚本与 Wazuh 通信,找出需要修复的内容,并在 IRIS 中创建案例。它们使用本地缓存(.json 文件)来记住已经创建过工单的内容,因此绝不会创建重复工单。
• **fetch_high_crit_vulns.py:** 每日运行。抓取最危险的漏洞(24-48 小时 SLA)。
• **fetch_medium_vulns.py:** 每周运行。收集中危风险(30 天 SLA)。
• **fetch_low_vulns.py:** 每月运行。收集中低危风险(90 天 SLA)。
### 2. 修复 Playbook (secops-ansible/)
当人工在 IRIS 中批准工单时,他们会触发此 Ansible 代码来修复服务器。它执行三个步骤:
**备份:** 拍摄服务器的 AWS EBS 快照。
**精准修补:** 仅更新特定的易受攻击软件包(如 curl 或 binutils)。它不会盲目更新整个服务器,从而防止意外停机。
**验证:** 重启服务器上的 Wazuh 代理。这会强制 Wazuh 检查其工作并自动从我们的仪表板中清除安全警报。
### 如何设置
**前置条件:**
运行这些 Python 脚本的机器(通常是 AWX 服务器或管理主机)需要安装 Python 3 和一些基础库:
```
pip install requests python-dotenv urllib3
```
**身份验证 (.env 文件)**
脚本需要访问 Wazuh 和 IRIS。出于安全原因,密码绝不会存储在此代码中。您必须在 /tmp/ 目录(或您配置脚本查找的任何位置)中创建一个包含以下详细信息的 .env 文件:
```
INDEXER_URL="https://your-wazuh-indexer:9200"
INDEXER_USER="your_wazuh_user"
INDEXER_PASSWORD="your_wazuh_password"
INDEX_PATTERN="wazuh-alerts-4.x-*"
IRIS_HOOK_URL="https://your-iris-server/alerts/add"
IRIS_CASE_URL="https://your-iris-server/cases/add"
IRIS_API_KEY="your_iris_api_key"
```
**计划任务:**
这些脚本设计为通过 AWX 计划或标准 Linux Cron 任务运行。为了维持我们的合规 SLA,它们应按如下方式安排:
(注意:我们错开运行时间,以避免 Wazuh API 过载,并防止脚本相互冲突)。
### 如果没有可用的补丁怎么办?
有时,Wazuh 发现了漏洞,但供应商(如 Ubuntu 或 RedHat)尚未发布修复程序。
我们的脚本足够智能,能够检测到这种情况。它们会将工单标记为 **无可用补丁**。发生这种情况时,我们的工程师不会运行修补 playbook。相反,我们遵循风险接受流程:记录问题,应用变通方法(如使用防火墙阻止流量),并等待供应商发布更新
标签:Ansible AWX, AWS, DFIR-IRIS, DPI, EBS快照, GPT, ISO 27001, IT运维, Playbook, Python, SecOps, SIEM集成, SLA管理, SOAR, Socks5代理, Wazuh, 云安全架构, 剧本执行, 合规管理, 告警疲劳, 安全告警, 安全备份, 安全运营, 工单系统, 库, 应急响应, 扫描框架, 持续监控, 无后门, 无线安全, 漏洞利用检测, 漏洞管理, 端点安全, 系统提示词, 网络研究, 自动化漏洞修复, 自动化运维, 补丁管理, 逆向工具