ZALO-DART/Soc-alert-enrichment

GitHub: ZALO-DART/Soc-alert-enrichment

该项目通过 Python 脚本将 Wazuh 导出的告警进行归一化与富化，输出结构化的 CSV 与 Markdown 报告以降低人工初筛负担。

Stars: 0 | Forks: 0

# SOC Alert Enrichment ![Python](https://img.shields.io/badge/Python-3.11+-blue) ![Pandas](https://img.shields.io/badge/Pandas-Data%20Analysis-lightgrey) ![Wazuh](https://img.shields.io/badge/Wazuh-SIEM-0266C8) ![Suricata](https://img.shields.io/badge/Suricata-IDS%2FIPS-EA5B0C) ![Status](https://img.shields.io/badge/Status-MVP-success) Automatización básica orientada a SOC para procesar alertas reales exportadas desde **Wazuh**, normalizar campos relevantes y generar reportes automáticos en **CSV** y **Markdown** para apoyar el análisis inicial y el triage de eventos de seguridad. ## Descripción Este proyecto toma alertas en formato JSON generadas en un laboratorio de ciberseguridad basado en **Wazuh + Suricata**, extrae información útil para investigación inicial y produce salidas más fáciles de revisar fuera del dashboard. La idea principal fue construir una capa adicional de automatización sobre un entorno SIEM previamente desplegado, transformando eventos crudos en artefactos de análisis reutilizables y documentables. ## Objetivo Reducir el trabajo manual de revisión inicial de alertas mediante un script en Python capaz de: - cargar alertas exportadas desde Wazuh - extraer campos relevantes para análisis - normalizar información heterogénea - generar una tabla estructurada en CSV - generar un resumen ejecutivo en Markdown ## Contexto del laboratorio Este proyecto se apoya en alertas reales generadas en laboratorios previos de mi portafolio: - **Wazuh-suricata-lab** - **Wazuh-detection-lab** Sobre esa base, este repositorio agrega una capa de automatización para enriquecer y resumir eventos ya detectados por el SIEM. ## Tecnologías utilizadas - **Python 3.11+** - **Pandas** - **JSON** - **Wazuh** - **Suricata** - **PowerShell / Linux Shell** ## Capacidades actuales El proyecto actualmente permite: - procesar archivos JSON completos o JSON por línea - extraer campos útiles para triage inicial - generar un reporte tabular en CSV - generar un resumen ejecutivo en Markdown - trabajar con alertas reales del laboratorio - analizar eventos tanto de red como de sistema ## Campos extraídos El script normaliza campos como: - `timestamp` - `rule_id` - `rule_level` - `rule_description` - `agent_name` - `srcip` - `dstip` - `srcuser` - `dstuser` - `command` - `location` - `decoder_name` - `program_name` - `full_log` Esto permite trabajar con eventos de distinta naturaleza, incluyendo alertas de **Suricata**, eventos de **PAM**, uso de **sudo** y registros de **journald**. ## Estructura del proyecto ``` soc-alert-enrichment/ ├── README.md ├── requirements.txt ├── .gitignore ├── sample_data/ │ └── alerts.json ├── output/ │ ├── report.csv │ └── summary.md └── src/ ├── main.py ├── parser.py ├── extractor.py └── reporter.py ```

标签：AI合规, AMSI绕过, CSV, FTP漏洞扫描, Homebrew安装, IPv6, JSON, Linux Shell, Markdown, Metaprompt, MVP, PowerShell, Python, Suricata, Wazuh, 事件分类, 告警处理, 威胁检测, 安全编排, 安全运营, 实验室, 扫描框架, 数据导出, 数据规范化, 无后门, 现代安全运营, 端口安全, 网络调试, 自动化, 逆向工具