kiran-puvvada/SOAR-Playbooks-and-SOAR-Jobs

1.日志停止自动化： 本项目自动化监控日志源，以确保持续的数据摄取。 问题：由于分析师无法了解摄取何时恢复，导致积压的案件无法及时处理，从而产生大量悬而未决的案件。解决方案：一个定时 SOAR Job，用于识别打开的日志停止案件，并通过 UDM 查询 Chronicle 以验证日志是否已恢复。 结果：当检测到日志时自动关闭案件；如果日志仍然缺失，则每 3 小时发送重新升级提醒。 2.钓鱼调查与响应： 一个现代化的 playbook，将钓鱼响应从手动流程转变为 AI 辅助的自动化工作流。 问题：手动分析邮件头以及缺乏批量删除邮件的功能，导致平均响应时间（MTTR）出现严重瓶颈。解决方案：集成 ActOn Investigator 以获取 AI 驱动的判定结果，并集成 Google Threat Intelligence (GTI) 进行情报丰富。 结果：启用批量修复，使分析师能够从 G Suite 或 Office 365 的所有收件人邮箱中立即清除恶意邮件。 3.Playbook 失败报告 Job： 一种集中式监控工具，旨在确保环境中所有自动化的健康和可靠性。 问题：没有原生机制来检测失败的 playbook，迫使分析师手动检查每个案例以排查自动化错误。解决方案：一个基于 Python 的定时任务，通过遍历所有案例来识别状态为“Failed”的 playbook。 结果：从案例墙提取特定的错误信息，并向 SOC 团队发送汇总的故障报告，以便快速进行故障排查。

标签：ActOn Investigator, AI辅助分析, Chronicle, CISA项目, Google Threat Intelligence, G Suite, GTI, MTTR优化, Office 365, Playbook监控, Python, SOAR, SOC效率, UDM, 剧本自动化, 威胁情报, 安全工程, 安全运营, 开发者工具, 扫描框架, 批量补救, 数据摄入, 无后门, 日志停滞, 自动化健康监控, 自动化故障排查, 自动化闭环, 逆向工具, 邮件安全, 钓鱼邮件响应