jayaramdevfs/soar-lite

# 🛡️ SOAR-Lite：自动化威胁检测与事件响应系统 开发者：**Ravi K.** [](https://www.python.org/) [](https://flask.palletsprojects.com/) [](https://www.sqlite.org/) [](https://www.docker.com/) **SOAR-Lite** 是我构建的一个强大的 SOC 框架，旨在演示现代安全运营如何自动化日志获取、威胁检测和事件响应 (SOAR)。它为常见的基础设施攻击提供了实时仪表板和自动化缓解引擎。 ## 🚀 核心安全功能 ### 📂 1. 日志遥测获取 - **结构化获取：** 将 `auth.log` 和 JSON 格式的高速解析为可查询的安全仓库。 - **标准化：** 将原始日志（时间戳、IP、用户名）映射到结构化的 L1/L2 遥测数据。 ### 🚨 2. SIEM 检测引擎 - **暴力破解缓解：** 检测并标记快速连续的登录失败行为。 - **指标检查 (IOC)：** 将流量与已知的恶意 IP 监控列表进行交叉比对。 - **异常分类：** 识别在非标准时间段发生的成功登录。 ### ⚡ 3. SOAR 驱动的自动化 - **Playbook 执行：** 在出现高严重性警报时自动触发 `BLOCK_IP` 操作。 - **主动防火墙数据库：** 管理实时 IP 封禁，并对每个操作进行取证审计。 - **审计合规性：** 每个自动化响应都会生成带有时间戳的条目，以供合规性审查。 ## 📂 项目结构 ``` soar-lite/ ├── src/ # System Logic │ ├── log_collector/ # Normalization and ingestion │ ├── detection_engine/ # SIEM/Rule-based analyzer │ ├── response_engine/ # SOAR-driven mitigation │ ├── dashboard/ # SOC Management Interface │ └── utils/ # Data storage and utilities ├── documentation/ # Professional Documentation │ ├── Architecture_Report.md │ ├── Setup_and_Features_Guide.md │ └── Test_Plan_and_Validation_Guide.md ├── instructions/ # Operational Resources │ └── CLOUD_ASSISTANT_PROMPT.md ├── configs/ # Security rule-book (JSON) ├── data/ # Log storage and samples ├── scripts/ # Pipeline automation ├── docker/ # Deployment logic ├── requirements.txt └── README.md ``` ## 🛠️ 执行与部署 ### 本地设置 1. **初始化安全数据：** python scripts/run_pipeline.py 2. **启动管理控制台：** python src/dashboard/app.py ### Docker 部署 ``` docker build -t soar-lite -f docker/Dockerfile . docker run -p 5000:5000 soar-lite ``` ## 🏗️ 实际应用场景 **场景：暴力破解攻击的自动化遏制** 当攻击者进行多次失败的登录尝试时，我的 **日志收集器** 会获取事件，**检测引擎** 触发 `Brute Force` 规则，**SOAR 引擎** 立即执行自动封禁。随后您可以在仪表板上查看“ACTIVE BLOCK”，并导出取证日志以生成合规报告。 ## 🤝 项目支持 有关技术细节或特定环境的问题，请参阅 `instructions/` 目录中的 **操作资源**。

标签：AMSI绕过, Docker, Flask, IOC检测, IP 地址批量处理, IP封禁, OISF, PB级数据处理, Python安全工具, SOAR, SQLite, 仪表盘, 免杀技术, 威胁检测, 安全运维, 安全运营中心, 安全防御评估, 日志摄取, 日志管理, 暴力破解检测, 红队行动, 网络安全, 网络映射, 自动化防御, 请求拦截, 逆向工具, 防火墙管理, 隐私保护