Ash-projects-personal/incident-response-siem

# incident-response-siem 构建此项目是为了实现此前完全依赖人工分类的事件响应工作流自动化。在此分享检测逻辑和剧本（playbook）。 这是一个自动化事件响应平台，可接收 AWS CloudTrail 事件、VPC Flow Logs 和 GuardDuty 告警，通过 25 条自定义关联规则进行分析，并对高危和严重告警自动执行修复剧本。 这些关联规则可检测以下行为：凭证填充攻击（5 分钟内 20+ 次失败登录）、权限提升模式（角色扮演后调用敏感 API）、数据外泄（异常出站流量）以及不可能旅行（impossible travel）。 当高危/严重告警触发时，Lambda 函数会自动丰富告警信息，集成 VirusTotal 和 AbuseIPDB 的威胁情报，通过修改安全组隔离受影响的 EC2 实例，撤销任何已泄露的 IAM 凭证，在 WAF 中封禁源 IP，并在 JIRA 中创建包含完整上下文的事件工单。整个过程在 2 分钟内完成。在 60 天内实现了 MTTD 降低 40% 和 MTTR 降低 70%。 ``` python ir_automation.py ``` 此脚本模拟接收 10k 条 CloudTrail 事件，运行关联规则，并执行自动化剧本。

标签：AbuseIPDB, Ask搜索, Atomic Red Team, AWS安全, CloudTrail, EC2安全组, GuardDuty, IAM安全, Incident Response, JIRA集成, Lambda, MTTD优化, MTTR优化, Python, Security Automation, SOAR, VirusTotal, VPC Flow Logs, WAF, Web报告查看器, 不可能旅行检测, 云安全自动化, 关联规则, 凭证填充检测, 威胁情报, 安全运营, 开发者工具, 扫描框架, 数据泄露检测, 无后门, 权限提升检测, 模块化设计, 自动化事件响应, 自动化修复, 逆向工具