sydahmed122/soc-soar-automation

# soc-soar-automation ## 使用 Wazuh、Shuffle SOAR、VirusTotal 和 TheHive 进行告警增强和事件响应的 SOC 自动化 ## 目标 本项目的目标是设计和实施一个基于 SOAR 原则的自动化安全运营中心（SOC）工作流程，以提高威胁检测、告警增强和事件响应效率。 本项目集成了多个安全工具，包括 Wazuh（SIEM）、Shuffle（SOAR）、VirusTotal（威胁情报）和 TheHive（案例管理），以模拟真实的 SOC 环境。其重点是通过自动化重复性任务（如告警分类、威胁情报查询、案例创建和分析师通知）来减少人工工作量。 此外，本项目还展示了如何通过上下文威胁情报丰富安全告警并通过自动化工作流程进行升级，从而实现更快的决策和改善安全事件的响应时间。 ## 架构 Wazuh → Shuffle → VirusTotal → TheHive ## SOC 自动化架构

## Tools Used - Wazuh（SIEM 和告警检测） - Shuffle（SOAR 自动化） - VirusTotal（威胁情报） - TheHive（事件响应和案例管理） ### 基础设施（Google Cloud Platform） 本项目部署在 Google Cloud Platform（GCP）上，使用多台虚拟机来模拟真实的 SOC 环境。 ### 虚拟机配置 - **Wazuh 服务器虚拟机** - 托管 Wazuh Manager 用于日志收集和威胁检测 - 配置为接收来自 Windows 终端的遥测数据 - 根据可疑活动生成告警（例如 Mimikatz 检测） - **Shuffle SOAR 虚拟机** - 部署 Shuffle 用于安全编排和自动化 - 配置工作流程以处理从 Wazuh 接收的告警 - 集成 VirusTotal 和 TheHive API - **TheHive 虚拟机** - 部署 TheHive 用于事件响应和案例管理 - 根据丰富的告警自动创建案例 - **Windows 10 虚拟机（遥测终端）** - 用于模拟终端活动 - 生成日志和攻击场景（例如使用 Mimikatz 进行凭证转储） - 将日志转发到 Wazuh ## 工作流程 1. Wazuh 生成安全告警 2. 告警通过 webhook 发送到 Shuffle 3. Shuffle 从告警中提取文件哈希 4. 将哈希发送到 VirusTotal 进行分析 5. 如果为恶意： - Shuffle 在 TheHive 中创建案例 - 告警通过威胁情报进行丰富 - 向 SOC 分析师发送电子邮件通知 6. SOC 分析师进行调查和响应 ## 主要功能 - 自动化告警增强 - 威胁情报集成 - 自动化事件响应 - 电子邮件通知系统 - 减少人工 SOC 工作量 - 模拟攻击场景以验证告警检测和自动化工作流程 ## 截图 - Shuffle 工作流程 -

- VirusTotal 响应

- TheHive Case

## Email Notification

## 展示的技能 - SIEM 集成 - SOAR 自动化 - 威胁情报分析 - 事件响应工作流程 - SOC 运营 ## 说明 本项目展示了一个真实的 SOC 自动化管道，用于提高检测和响应效率。

标签：Ask搜索, CIDR查询, Conpot, FTP漏洞扫描, GCP, Google Cloud, Mimikatz检测, Shuffle, SOAR, TheHive, VirusTotal, Wazuh, Windows安全, 云计算, 告警丰富化, 威胁情报, 子域枚举, 安全工作流, 安全编排, 安全运营中心, 开发者工具, 端点安全, 网络映射, 网络调试, 自动化, 补丁管理, 规则引擎