ZALO-DART/Soc-alert-enrichment

GitHub: ZALO-DART/Soc-alert-enrichment

该项目通过 Python 脚本将 Wazuh 导出的告警进行归一化与富化,输出结构化的 CSV 与 Markdown 报告以降低人工初筛负担。

Stars: 0 | Forks: 0

# SOC 告警富化 ![Python](https://img.shields.io/badge/Python-3.11+-blue) ![Pandas](https://img.shields.io/badge/Pandas-Data%20Analysis-lightgrey) ![Wazuh](https://img.shields.io/badge/Wazuh-SIEM-0266C8) ![Suricata](https://img.shields.io/badge/Suricata-IDS%2FIPS-EA5B0C) ![Status](https://img.shields.io/badge/Status-MVP-success) 面向 SOC 的基础自动化工具,用于处理从 **Wazuh** 导出的真实告警,规范化相关字段,并自动生成 **CSV** 和 **Markdown** 报告,以支持安全事件的初步分析和分级处理(triage)。 ## 描述 本项目提取基于 **Wazuh + Suricata** 的网络安全实验室中生成的 JSON 格式告警,提取用于初步调查的有用信息,并生成在仪表板之外更易于查看的输出。 主要思路是在已部署的 SIEM 环境之上构建一层额外的自动化,将原始事件转化为可重用、可记录的分析工件。 ## 目标 通过一个 Python 脚本来减少初步审查告警的手动工作量,该脚本能: - 加载从 Wazuh 导出的告警 - 提取用于分析的相关字段 - 规范化异构信息 - 在 CSV 中生成结构化表格 - 在 Markdown 中生成执行摘要 ## 实验室背景 本项目基于我之前作品集实验室中产生的真实告警: - **Wazuh-suricata-lab** - **Wazuh-detection-lab** 在此基础之上,本仓库增加了一层自动化,用于富化和汇总已被 SIEM 检测到的事件。 ## 使用的技术 - **Python 3.11+** - **Pandas** - **JSON** - **Wazuh** - **Suricata** - **PowerShell / Linux Shell** ## 当前功能 本项目目前支持: - 处理完整的 JSON 文件或按行分割的 JSON (JSON per line) - 提取用于初步分诊 (triage) 的有用字段 - 生成 CSV 格式的表格报告 - 生成 Markdown 格式的执行摘要 - 处理实验室的真实告警 - 分析网络和系统事件 ## 提取的字段 脚本会规范化以下字段: - `timestamp` - `rule_id` - `rule_level` - `rule_description` - `agent_name` - `srcip` - `dstip` - `srcuser` - `dstuser` - `command` - `location` - `decoder_name` - `program_name` - `full_log` 这使得处理不同性质的事件成为可能,包括 **Suricata** 告警、**PAM** 事件、**sudo** 的使用以及 **journald** 的日志记录。 ## 项目结构 ``` soc-alert-enrichment/ ├── README.md ├── requirements.txt ├── .gitignore ├── sample_data/ │ └── alerts.json ├── output/ │ ├── report.csv │ └── summary.md └── src/ ├── main.py ├── parser.py ├── extractor.py └── reporter.py ```
标签:Pandas, Python, SIEM, SOC自动化, Wazuh, 告警分类, 安全运营, 扫描框架, 无后门