ZALO-DART/Soc-alert-enrichment
GitHub: ZALO-DART/Soc-alert-enrichment
该项目通过 Python 脚本将 Wazuh 导出的告警进行归一化与富化,输出结构化的 CSV 与 Markdown 报告以降低人工初筛负担。
Stars: 0 | Forks: 0
# SOC 告警富化





面向 SOC 的基础自动化工具,用于处理从 **Wazuh** 导出的真实告警,规范化相关字段,并自动生成 **CSV** 和 **Markdown** 报告,以支持安全事件的初步分析和分级处理(triage)。
## 描述
本项目提取基于 **Wazuh + Suricata** 的网络安全实验室中生成的 JSON 格式告警,提取用于初步调查的有用信息,并生成在仪表板之外更易于查看的输出。
主要思路是在已部署的 SIEM 环境之上构建一层额外的自动化,将原始事件转化为可重用、可记录的分析工件。
## 目标
通过一个 Python 脚本来减少初步审查告警的手动工作量,该脚本能:
- 加载从 Wazuh 导出的告警
- 提取用于分析的相关字段
- 规范化异构信息
- 在 CSV 中生成结构化表格
- 在 Markdown 中生成执行摘要
## 实验室背景
本项目基于我之前作品集实验室中产生的真实告警:
- **Wazuh-suricata-lab**
- **Wazuh-detection-lab**
在此基础之上,本仓库增加了一层自动化,用于富化和汇总已被 SIEM 检测到的事件。
## 使用的技术
- **Python 3.11+**
- **Pandas**
- **JSON**
- **Wazuh**
- **Suricata**
- **PowerShell / Linux Shell**
## 当前功能
本项目目前支持:
- 处理完整的 JSON 文件或按行分割的 JSON (JSON per line)
- 提取用于初步分诊 (triage) 的有用字段
- 生成 CSV 格式的表格报告
- 生成 Markdown 格式的执行摘要
- 处理实验室的真实告警
- 分析网络和系统事件
## 提取的字段
脚本会规范化以下字段:
- `timestamp`
- `rule_id`
- `rule_level`
- `rule_description`
- `agent_name`
- `srcip`
- `dstip`
- `srcuser`
- `dstuser`
- `command`
- `location`
- `decoder_name`
- `program_name`
- `full_log`
这使得处理不同性质的事件成为可能,包括 **Suricata** 告警、**PAM** 事件、**sudo** 的使用以及 **journald** 的日志记录。
## 项目结构
```
soc-alert-enrichment/
├── README.md
├── requirements.txt
├── .gitignore
├── sample_data/
│ └── alerts.json
├── output/
│ ├── report.csv
│ └── summary.md
└── src/
├── main.py
├── parser.py
├── extractor.py
└── reporter.py
```
标签:Pandas, Python, SIEM, SOC自动化, Wazuh, 告警分类, 安全运营, 扫描框架, 无后门