Saravanan-Patrick/Project-02-Automated-Threat-Detection-

# 项目-02-自动化威胁检测 SOC 自动化 | N8N Workflow + Virus Total API | AI 威胁分类 | 实时 IP 分析 | HTML 告警报告 | 确认 6 个攻击者 IP 为 CRITICAL（严重）级别 ## N8n Workflow + VirusTotal API + AI 分类 ## 关于本项目 这是一个使用 N8n 构建的自动化 SOC 威胁检测工作流，它以可疑 IP 地址作为输入，实时自动查询 VirusTotal API，使用 AI 分类逻辑确定威胁严重程度，生成专业的 HTML 告警报告并即时提供 SOC 分析师建议。这实现了 Tier 1 SOC 分析师的手动工作自动化——即对照威胁情报源检查可疑 IP。原本需要数小时的手动工作现在只需数秒即可自动完成。 ## 工具与技术 | 工具 | 用途 | | ----- | ------- | | N8n Cloud | 可视化工作流自动化平台 | | VirusTotal API v3 | IP 信誉和威胁情报 | | JavaScript | 数据处理和严重程度分类 | | HTML / CSS | 专业告警报告生成 | ## 工作流架构 | 步骤 | 节点 | 操作 | | ----- | ----- | ------- | | 1 | Manual Trigger | 启动工作流 | | 2 | HTTP Request | 使用可疑 IP 查询 VirusTotal API | | 3 | Code in JavaScript | 提取数据并分类威胁严重程度 | | 4 | HTML Template | 生成专业 SOC 告警报告 | ## 节点 2 — HTTP Request 配置 | 设置 | 值 | | ------ | ------- | | Method | GET | | URL | https://www.virustotal.com/api/v3/ip_addresses/{IP} | | Authentication | None | | Header Name | x-apikey | | Header Value | VirusTotal API Key | | Send Headers | ON — enabled | ## AI 严重程度分类逻辑 | 严重程度 | 条件 | 建议 | | ------- | -------- | ------------- | | CRITICAL | 10+ 个恶意厂商 | 立即在防火墙阻止 (BLOCK) | | HIGH | 5-9 个恶意厂商 | 阻止 — 高度可疑 | | MEDIUM | 1-4 个恶意厂商 | 进一步调查 | | LOW-MEDIUM | 仅 1+ 个可疑 | 密切监控 | |LOW | 0 个检测 | 无需操作 | ## 测试结果 — 项目 01 攻击者 IP 所有测试的 IP 均在项目 01 真实世界威胁狩猎中发现——84 个外部 IP 发起了 12,431 次 RDP 暴力破解攻击： | IP 地址 | 项目 01 攻击次数 | 国家/地区 | 所有者 | 严重程度 | | --------- | ---------------- | --------- | ------ | -------- | | 195.3.222.252 | 879 次尝试 | Netherlands | Serverius | CRITICAL | | 193.34.212.189 | 863 次尝试 | Germany | Combahton GmbH | CRITICAL | | 149.50.101.27 | 861 次尝试 | Unknown | Unknown | CRITICAL | | 149.50.116.7 | 859 次尝试 | Unknown | Unknown | CRITICAL | | 38.225.206.208 | 679 次尝试 | Unknown | Unknown | CRITICAL | | 194.165.16.165 | 669 次尝试 | Monaco | Flyservers S.A. | CRITICAL | 所有 6 个 IP 均被 VirusTotal 确认为 CRITICAL 级别——验证了所有项目 01 威胁狩猎的发现！ ## 工作流输出字段 | 字段 | 示例值 | 描述 | | ------- | ----------- | ----------- | | ip_address | 194.165.16.165 | 被分析的 IP 地址 | | severity | CRITICAL | 分类后的威胁等级 | | malicious_vendors | 15+ | 标记为恶意的厂商数量 | |suspicious_vendors | 3 | 标记为可疑的厂商数量 | | harmless_vendors | 60+ | 标记为无害的厂商数量 | | country | Monaco (MC) | IP 地理定位国家/地区 | | owner | Flyservers S.A. | 来自 WHOIS 的 IP 所有者 | | recommendation | BLOCK immediately | SOC 操作建议 | | scan_time | 3/21/2026 7:25 AM | 分析时间戳 | ## 与项目 01 的关联 | 项目 | 操作 | 关联 | | ------- | -------- | --------- | | Project 01 | 在 40,372 条 Sysmon 日志中发现 84 个攻击者 IP | 确定了需要调查的 IP | | Project 02 | 通过 VirusTotal API 自动调查 IP | 确认全部为 CRITICAL 威胁 | ## 完整的 SOC 工作流：项目 01 = 检测 -> 项目 02 = 自动化调查 -> 报告。 ## 我学到了什么 • 如何使用 N8n 可视化工作流平台构建自动化 SOC 工作流。 • 如何使用 HTTP Request 节点集成 VirusTotal 威胁情报 API。 • 如何在 N8n Code 节点中编写 JavaScript 进行数据处理和提取。 • 如何实现 AI 风格的严重程度分类逻辑用于威胁评分。 • 如何从 JSON 威胁数据生成动态 HTML 告警报告。 • 自动化如何将 SOC 分析师的手动工作量从数小时减少到数秒。 • 威胁情报源在企业安全运营中是如何工作的。 • 如何连接两个项目——将威胁狩猎结果输入到自动化流程中。 • VirusTotal API v3 如何以 JSON 格式构建 IP 信誉数据。 • 现代 SOC 团队如何使用 SOAR 进行安全编排自动化响应。 ## 项目进度 | 项目 | 主题 | 状态 | | ------ | ------ | ------- | | Project 01 | 真实世界威胁狩猎 — Splunk | 完成 | | Project 02 | 自动化威胁检测 — N8n + AI | 完成 | ## ■■ 关于我 正从食品技术领域转型至网络安全领域，专注于 SOC 分析和蓝队运营。此实验室记录了我的动手学习之旅。 - ■ LinkedIn: [linkedin.com/in/saravanan-cyber](https://linkedin.com/in/saravanan-cyber) - ■ Email: career.entrydesk@gmail.com - ■ Thiruvallur, Tamil Nadu, India

标签：AI分类, AMSI绕过, Ask搜索, CMS安全, HTML报告, IP分析, JavaScript, N8N, SOC自动化, VirusTotal, 初级分析师模拟, 后端开发, 多模态安全, 威胁情报, 威胁检测, 安全编排与自动化, 安全运营中心, 实时分析, 工作流自动化, 开发者工具, 恶意IP检测, 数据可视化, 网络安全, 网络映射, 自动化响应, 隐私保护