cybergirlApurva/soar-playbooks

# soar-playbooks 企业级 **FortiSOAR 自动化剧本模板**，适用于企业 SOC 运营，包括用于核心 enrichment 和决策逻辑的 Python 辅助脚本。所有剧本均已脱敏处理——不包含客户特定数据、凭据或环境标识符。 这些剧本已在 20,000+ 个端点环境中开发和运行，为每种事件类型实现了 **MTTD/MTTR 降低 50%** 以及 **约 85–95% 的自动化率**。 ## 剧本索引 | 剧本 | 使用场景 | 触发条件 | 自动化率 | MITRE TTPs | |------|----------|----------|----------|------------| | [`phishing-triage/`](#phishing-triage) | 邮件钓鱼检测、隔离、IOC 阻断 | 告警（钓鱼） | ~85% | T1566.001, T1566.002 | | [`malware-containment/`](#malware-containment) | 主机隔离、取证收集、根除 | 告警（恶意软件） | ~90% | T1204, T1059, T1547 | | [`ioc-enrichment/`](#ioc-enrichment) | 多源 IOC enrichment 与风险评分 | 子剧本 / 手动 | ~100% | T1071, T1566 | | [`vuln-remediation/`](#vuln-remediation) | Qualys VMDR → Jira 工单路由、SLA 强制执行 | 定时（每日） | ~95% | — | ## 仓库结构 ``` soar-playbooks/ ├── playbooks/ │ ├── phishing-triage/ │ │ ├── phishing-triage-playbook.json # FortiSOAR playbook definition │ │ └── phishing_triage_helper.py # IOC extraction + triage decision logic │ ├── malware-containment/ │ │ └── malware-containment-playbook.json # FortiSOAR playbook definition │ ├── ioc-enrichment/ │ │ ├── ioc-enrichment-playbook.json # Sub-playbook definition │ │ └── ioc_risk_scorer.py # Weighted multi-source risk scoring │ └── vuln-remediation/ │ └── vuln-remediation-playbook.json # Scheduled Qualys → Jira automation └── README.md ``` ## 剧本详情 ### 钓鱼 triage **流程：** 解析邮件 → 提取 IOC → 丰富（VirusTotal + MISP + SOC Radar）→ 判决 → 通过 ProofPoint TRAP 全局隔离 → Palo Alto 阻断 → 更新 MISP **关键设计决策：** - 并行 enrichment 三个来源以最小化 triage 时间（目标：5 分钟内） - 判决路由：确认恶意 → 自动隔离 + 阻断；可疑 → 分析师任务，预填充上下文；干净 → 自动关闭 - 邮件箱修复范围针对整个组织，而不仅仅是报告者 **Python 辅助脚本**（`phishing_triage_helper.py`）处理 IOC 提取，使用正则匹配 URL、IP、域名和文件哈希，排除私有 IP，允许已知良好域名白名单，并执行 triage 决策逻辑。 ### 恶意软件 containment **流程：** 从 CMDB 丰富资产 → 关键资产审批门控 → 通过 CrowdStrike 隔离 → 并行取证收集 → 杀进程 → 移除持久化 → 阻断 C2 IOC → 在 SIEM 中检查横向移动 → 打开 Jira 恢复工单 **关键设计决策：** - 关键/高关键资产审批门控防止意外业务中断 - 隔离时启用 `maintain_edr_channel: true` 以保留隔离后的调查能力 - 横向移动检查在 Sentinel 中运行 KQL 查询，以在恢复前识别传播 ### IOC Enrichment（子剧本） **流程：** 验证 IOC → 并行丰富（VT + MISP + OTX + SOC Radar + AbuseIPDB）→ 加权风险评分 → 更新告警 → 若为恶意则自动阻断 **设计为可重用的子剧本**，可被钓鱼、恶意软件和手动分析师工作流调用。 **风险评分公式**（`ioc_risk_scorer.py`）： ``` Risk Score = (VT score × 0.35) + (MISP score × 0.25) + (OTX score × 0.20) + (SOC Radar score × 0.15) + (AbuseIPDB score × 0.05) ``` 示例输出： ``` IOC: 203.0.113.42 Risk Score: 87.3/100 | Verdict: MALICIOUS Flagged by: virustotal, misp, otx, socradar, abuseipdb Source Breakdown: virustotal ████████░░ 82/100 misp █████████░ 90/100 otx ████████░░ 80/100 socradar ████████░░ 88/100 abuseipdb █████████░ 95/100 ``` ### 漏洞修复 **流程：** 拉取 Qualys VMDR 结果 → 用 CISA KEV + ExploitDB 丰富 → 按 SLA 层级进行风险优先级排序 → 创建/更新 Jira 工单 → 检查 SLA 违约 → 升级至管理层 → 更新 CISO 仪表板 **SLA 层级：** | 层级 | CVSS | 条件 | 修复 SLA | |------|------|------|----------| | P1 严重 | 9.0+ | 在 CISA KEV 中 | 3 天 | | P2 高 | 7.0+ | — | 14 天 | | P3 中等 | 4.0+ | — | 30 天 | | P4 低 | <4.0 | — | 90 天 | 该剧本每月跟踪 500+ 个 CVE，并在 20,000 个端点上保持 90% 以上的 P1 修复率。 ## 集成栈 | 类别 | 工具 | |------|------| | SOAR | FortiSOAR 7.x | | EDR | CrowdStrike Falcon, Cortex XDR | | 邮件安全 | ProofPoint TAP / TRAP | | 威胁情报 | MISP, AlienVault OTX, VirusTotal, SOC Radar | | 防火墙 | Palo Alto Networks | | 漏洞管理 | Qualys VMDR | | SIEM | Microsoft Sentinel (Azure Log Analytics) | | 工单 | Jira | ## 运行 Python 脚本 ``` # IOC risk scorer — runs sample test cases python playbooks/ioc-enrichment/ioc_risk_scorer.py # Phishing triage helper — runs IOC extraction demo python playbooks/phishing-triage/phishing_triage_helper.py ``` 独立执行无需外部依赖。生产部署使用 FortiSOAR Python 连接器并配置环境特定的 API 凭据。 ## 背景 剧本在 7 年企业 SOC 运营期间开发并投入运行。这些剧本贡献的关键成果包括：MTTD/MTTR 降低 50%、钓鱼事件减少 40%、关键 CVE 修复率 90%。所有模板均已脱敏，可公开分享。 ## 相关项目 - [`siem-detection-rules`](https://github.com/cybergirlApurva/siem-detection-rules) — KQL 检测规则，向这些剧本提供告警 - [`threat-intel-automation`](https://github.com/cybergirlApurva/threat-intel-automation) — MISP/OTX 管道，被 IOC enrichment 剧本使用 - [`security-automation-toolkit`](https://github.com/cybergirlApurva/security-automation-toolkit) — Python 工具集，包括 Qualys API 封装 *Apurva Tiwari · [LinkedIn](https://linkedin.com/in/apurva-tiwari) · MS Cybersecurity, George Washington University*

标签：Cloudflare, FortiSOAR, GPT, IOC, IP 地址批量处理, MITRE ATT&CK, MTTD MTTR, SEO, 企业级, 决策逻辑, 剧本自动化, 告警处理, 威胁情报, 安全运营, 富文本处理, 工单系统, 开发者工具, 恶意软件, 扫描框架, 搜索语句（dork）, 漏洞修复, 漏洞管理, 环境隔离, 生产级, 生成式AI, 索引, 网络安全培训, 网络研究, 自动化率, 自动化编排, 触发器, 调度任务, 逆向工具