dipusarin/EDR_SOAR_Automation

GitHub: dipusarin/EDR_SOAR_Automation

该项目通过集成 LimaCharlie EDR 和 Tines SOAR，实现了针对 LaZagne 等威胁的自动化检测、主机隔离及多渠道告警通知。

Stars: 0 | Forks: 0

# EDR + SOAR 自动化项目 ## 📌 概述本项目展示了使用 LimaCharlie (EDR) 和 Tines (SOAR) 进行的自动化事件检测与响应。 ## 🧠 架构 ![Architecture](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/0b199b1fa7191440.png) ## ⚙️ 工作流 1. 检测可疑进程 (LaZagne) 2. 发送告警到 Tines 3. 经用户提示后自动隔离主机 4. 通过 Slack 和邮件发送通知 ## 🛠️ 技术栈 - LimaCharlie (EDR) - Tines (SOAR) - Slack API - Email (SMTP) ## 📸 演示 ### 🛑 检测 ![Detection](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/a341e43758191441.png) ![Detection](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/5197986b20191442.png) 使用 LimaCharlie 检测规则检测 LaZagne 凭证转储工具的执行。 ### ⚙️ 自动化 (Tines) ![Tines](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/a05c2dbba0191444.png) 利用 Playbooks (stories) 帮助自动化整个工作流。 ### 🔒 隔离 ![Isolation](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/65fcc3f191191445.png) Lima Charlie 中受感染 VM 的隔离状态 ### 🔔 告警作为自动化的一部分发送给分析师的告警 ![Slack](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/f3bb332215191446.png) ![Email](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/9f60f47bae191447.png) ## 🎯 主要功能 - 自动化威胁检测 - 端点隔离 - 实时告警 - 端到端 SOC 工作流 ## 🚀 未来改进 - 添加 SIEM 集成 (Splunk/Sentinel) - 添加威胁情报丰富 - 通过更优规则减少误报# EDR-SOAR 自动化项目 (LimaCharlie + Tines) ## 检测逻辑自定义检测规则识别： - LaZagne 可执行文件 - 可疑的命令行使用 - 已知的恶意哈希这有助于减少误报并提高检测准确性。

标签：AMSI绕过, API集成, EDR, FTP漏洞扫描, LaZagne, LimaCharlie, OpenCanary, Playbook, Slack通知, SOAR, SOC工作流, Tines, 主机隔离, 反模式检测, 可观测性, 威胁检测, 安全编排, 时间线生成, 端点检测, 网络安全, 脆弱性评估, 自动化安全运营, 邮件告警, 隐私保护