Samir-K9/SOC-Automation-Lab-AI-Integration
GitHub: Samir-K9/SOC-Automation-Lab-AI-Integration
一套集成 AI 分析、威胁情报富化和自动案件管理的企业级 SOC 自动化实验室,帮助安全团队减少重复性告警分诊工作并提升调查效率。
Stars: 0 | Forks: 0
# 集成 AI 的 SOC 自动化实验室
## 目标
本项目构建了一个自动化的 SOC 工作流,将 Splunk 与 AI 分析、威胁情报源、恶意软件扫描以及案件管理连接起来。
本项目重点在于获取基础的 SIEM 流水线,并通过自动化和 AI 对其进行扩展,从而在极少人工干预的情况下实现安全告警的富化、分析和路由。其目标是展示现代 SOC 如何在提高调查质量的同时减少重复性工作。
该技术栈结合了用于日志分析的 Splunk、用于自动化的 n8n、用于上下文威胁分析的 ChatGPT、用于恶意软件检测的 VirusTotal、用于案件管理的 DFIR-IRIS,以及用于自然语言 SIEM 查询的 Splunk MCP 服务器。
## 掌握的技能
- 配置 Splunk Enterprise 以实现集中式日志收集和关联
- 使用 Docker 部署 N8N 并管理自动化技术栈
- 在 N8N 中构建自动化检测工作流,以减少手动的一线告警分诊
- 使用 ChatGPT API 进行威胁摘要和 MITRE ATT&CK 映射
- 使用 AbuseIPDB 和 VirusTotal 对 IP 和文件信誉数据进行告警富化
- 使用 Docker 设置 DFIR-IRIS,用于结构化的事件跟踪和调查工作流
- 使用 Atomic Red Team 生成攻击模拟并验证检测结果
- 实现了 Splunk MCP 服务器 (livehybrid/splunk-mcp),用于在 Claude Desktop 中进行自然语言查询
- 构建 Slack 集成,用于向 SOC 频道发送实时告警
- 将多个安全 API 集成到单一的工作流流水线中
## 前置条件
### 硬件要求
- 至少配备 16GB 内存的系统(如果运行多个虚拟机,建议使用 32GB)
- 4 个以上的 CPU 核心,并启用虚拟化
- 大约 200GB 的可用存储空间用于虚拟机
### 软件要求
| 软件 | 描述 |
|----------|-------------|
| VMware Workstation Pro / VirtualBox | 用于运行虚拟机 |
| Windows 10 | 用于生成安全日志和模拟活动的工作站 |
| Ubuntu Server 22.04 | 承载 Splunk、N8N 和 DFIR-IRIS |
| Splunk Universal Forwarder | 用于从工作站转发日志 |
| Claude Desktop | 用于通过 MCP 进行自然语言 SIEM 查询 |
### 工具和平台
| 工具 | 描述 |
|------|-------------|
| Splunk Enterprise | 用于日志摄取和关联的 SIEM |
| N8N | 用于 SOC 自动化的工作流自动化工具 |
| OpenAI ChatGPT API | 提供基于 AI 的威胁分析 |
| AbuseIPDB | IP 信誉和滥用评分 |
| VirusTotal | 文件和哈希值恶意软件分析 |
| DFIR-IRIS | 事件响应和案件管理平台 |
| Splunk MCP Server | 实现对 Splunk 的自然语言查询 |
| Atomic Red Team | 攻击模拟框架 |
| Slack | 用于发送 SOC 告警通知 |
| Docker & Docker Compose | 用于部署 N8N 和 DFIR-IRIS |
## 工作流概述
- Windows 10 生成身份验证日志,包括失败的登录尝试
- Splunk Universal Forwarder 通过端口 9997 将日志发送到 Splunk 索引器
- Splunk 使用关联规则检测可疑活动并触发 webhook
- N8N 接收告警并启动自动化工作流
- ChatGPT 分析事件并提供上下文、严重程度和 MITRE 映射
- AbuseIPDB 检查源 IP 信誉和历史滥用数据
- VirusTotal 扫描任何相关的文件哈希值以进行恶意软件检测
- DFIR-IRIS 创建一个包含所有富化数据的结构化事件案例
- Slack 接收带有分析和调查上下文的格式化告警
- 分析师可以通过 MCP 服务器使用自然语言查询 Splunk,而无需使用 SPL
## 截图
### 架构图
*从工作站日志到 Splunk、N8N 自动化、AI 分析、威胁情报、案件管理和 Slack 通知的端到端工作流*
### Splunk 配置
*Splunk 展示来自 Windows 工作站的实时日志摄取*
*用于失败登录并带有触发至 N8N 的 webhook 的检测规则*
### N8N 工作流
*处理解析、富化、AI 分析和告警的完整自动化工作流*
### AI 分析
*显示威胁上下文的 ChatGPT 输出*
### 威胁情报
*AbuseIPDB IP 信誉结果显示滥用评分和历史记录*
*VirusTotal 分析显示各引擎的恶意软件检测情况*
### DFIR-IRIS 案件管理
*在 DFIR-IRIS 中自动创建的事件,并附带富化上下文和时间线*
### Slack 告警
*附带完整富化和 AI 分析的 SOC 告警*
### 对话式 SIEM (MCP Server)
*无需 SPL 即可返回 Splung 结果的自然语言查询*
## 总结
本项目展示了如何使用 AI 和编排工具将传统的 SIEM 设置扩展为更加自动化的 SOC 工作流。
该系统会检测可疑活动,使用威胁情报对其进行富化,运行恶意软件分析,并自动构建结构化的事件案例。除此之外,它还允许对 Splunk 数据进行自然语言查询,从而使调查更快、更易于访问。
构建此项目让我获得了关于 SIEM 配置、自动化工作流、威胁情报集成和 AI 辅助安全分析的实操经验。
它还有助于将不同的安全工具如何协同工作而不是孤立运行联系起来,这更接近于真实 SOC 环境的结构。
**使用技术:** Splunk 🔍 | N8N ⚡ | ChatGPT 🤖 | AbuseIPDB 🛡️ | VirusTotal 🦠 | DFIR-IRIS 📋 | Claude MCP 💬
标签:AbuseIPDB, AI安全分析, Ask搜索, Atomic Red Team, ChatGPT, Claude Desktop, DFIR-IRIS, Docker, HTTP工具, IP信誉查询, IP 地址批量处理, MITRE ATT&CK映射, n8n, OISF, PB级数据处理, Promptflow, Slack集成, SOAR, SOC自动化, Splunk MCP, VirtualBox, VirusTotal, VMware, 人工智能, 企业级安全, 减少人工干预, 多源情报, 威胁情报, 子域名变形, 安全API集成, 安全事件响应, 安全实验室, 安全运维, 安全运营中心, 安全防御评估, 容器化部署, 对话式查询, 开发者工具, 开源软件, 恶意软件扫描, 搜索语句(dork), 攻击模拟, 数据泄露检测, 文件信誉检测, 无线安全, 日志关联分析, 日志管理, 检测规则验证, 用户模式Hook绕过, 网络安全, 网络安全审计, 网络映射, 自动化分类, 自动化案例管理, 自然语言查询, 虚拟化环境, 请求拦截, 隐私保护, 集中化日志收集, 驱动签名利用