Zeno-Sama23/soar-incident-response

# 使用 SOAR 自动化事件响应 ## 概述 三个与 Microsoft Sentinel 集成的 Logic Apps playbook，用于自动化事件响应，从而降低平均响应时间 (MTTR)。 ## 技术栈 - Microsoft Sentinel - Azure Logic Apps - Microsoft Entra ID - VirusTotal API v3 - Outlook.com (通知) ## Playbook | Playbook | 触发器 | 动作 | MITRE ATT&CK | |----------|---------|--------|-------------| | 暴力破解邮件通知 | 创建事件 | 通过 Outlook 发送邮件警报 | T1110.001 | | 自动禁用受损用户 | 创建事件 | 禁用 Entra ID 账户 | T1110.001 | | 通过 VirusTotal 进行 IP 富化 | 创建事件 | 将 VT 报告添加至事件 | T1078.004 | ## 关键指标 - **MTTR：** 从人工处理（数小时）降低至自动化处理（< 60 秒） - **覆盖率：** 跨 2 条检测规则的 3 项自动化响应 - **集成：** Sentinel → Logic Apps → Entra ID / VirusTotal ## 展示技能 - SOAR playbook 设计与实现 - API 集成 (VirusTotal v3) - 自动化用户账户管理 - 结合威胁情报的事件富化 - 端到端 IR (事件响应) 自动化

标签：API集成, Ask搜索, Azure Logic Apps, Brute Force, IP信誉查询, Microsoft Entra ID, Microsoft Sentinel, MTTR, Outlook, Playbook, PoC, SecOps, SecOps, SOAR, VirusTotal, 云安全架构, 云安全架构, 云端安全, 凭据获取, 受损账户, 可观测性, 威胁情报, 威胁情报富集, 安全信息与事件管理, 安全剧本, 安全运营, 密码猜测, 平均响应时间, 开发者工具, 扫描框架, 搜索引擎爬取, 暴力破解, 端到端自动化, 网络安全事件处理, 自动化应急响应, 自动禁用账户, 账号冻结, 邮箱通知