AKRAM77778/automated-incident-response-pipeline
GitHub: AKRAM77778/automated-incident-response-pipeline
本项目构建了一套从检测到遏制的零接触闭环 SOAR 流水线,通过编排多层开源安全工具实现自动化的威胁分析与网络隔离响应。
Stars: 0 | Forks: 0
# 🚀 概述
本项目实现了一个零接触、闭环的安全编排、自动化与响应(SOAR)流水线。它弥合了高保真威胁检测与基础设施级别遏制之间的差距,将平均响应时间(MTTR)降至接近零。
# 🏗️ 系统架构
该架构遵循解耦的、基于微服务的纵深防御模型:
## 🔍 检测层
- **Suricata (Network IDS)** 捕获并分析恶意的网络流量。
- **Wazuh (Host IDS)** 收集基于主机的遥测数据、身份验证日志和安全事件。
## 🧠 分析大脑
- **ANAOS SIEM Engine** 接收日志,执行状态化阈值分析,并使用 MITRE ATT&CK 分类来丰富事件:
- `T1595` — 主动扫描
- `T1110` — 暴力破解
## 🔄 编排层
- **Shuffle SOAR** 持续轮询 ANAOS REST API,并应用布尔逻辑以消除误报和低优先级噪声。
## 🛡️ 执行层
- **Ansible** 动态修改 pfSense 防火墙路由表和别名,以在第 3 层(Layer 3)立即隔离恶意主机。
## 📷 架构图
# 🛠️ 技术深入探讨
## 1️⃣ 分析阈值设定 (ANAOS API)
与硬编码静态响应不同,ANAOS 通过结构化的 REST API 端点暴露状态化告警:
# 🛠️ 技术深入探讨
## 1️⃣ 分析阈值设定 (ANAOS API)
与硬编码静态响应不同,ANAOS 通过结构化的 REST API 端点暴露状态化告警:
标签:AMSI绕过, Ansible, Incident Response, IT运维, meg, Metaprompt, MTTR, PoC, Shuffle, SOAR, Socks5代理, Suricata, Talos规则, Wazuh, 主动扫描, 主机入侵检测, 信息安全, 入侵检测系统, 威胁检测, 安全事件响应, 安全信息与事件管理, 安全数据湖, 密码管理, 平均响应时间, 微服务架构, 搜索引擎爬取, 暴力破解, 现代安全运营, 系统提示词, 纵深防御, 网络安全, 网络流量分析, 网络隔离, 自动化响应, 自动化运维, 闭环防御, 防火墙, 隐私保护, 零接触