Aerospaceginix/Hybrid-Cloud-Threat-Intelligence-Incident-Response-Pipeline

# 🛡️ 专业自动化 SOC 流水线 一个高保真的自动化 SOC（安全运营中心）流水线演示，集成了 **Wazuh (SIEM/EDR)**、**Shuffle (SOAR)** 以及自动化事件响应逻辑。  ## 🚀 概述 本项目演示了一个完整的安全生命周期： 1. **检测：** Wazuh 监控系统日志并识别暴力破解攻击（规则 5712）。 2. **编排：** Shuffle SOAR 通过 Webhook 接收告警。 3. **自动化：** 基于 Python 的集成触发自动化丰富与决策。 4. **响应：** 通过 Active Response 封禁攻击者的 IP，并实时通知安全团队。 ## 🛠️ 技术栈 * **SIEM/EDR:** Wazuh (Indexer, Manager, Dashboard) * **SOAR:** Shuffle * **自动化：** Python, Bash, Docker * **通知：** Telegram/Discord API ## 📂 项目结构 * `docker-compose.yml`：部署完整的 Wazuh + Shuffle 技术栈。 * `shuffle-integration.py`：用于 Wazuh 与 Shuffle 通信的 Python 桥接程序。 * `ossec_snippet.xml`：Sysmon 和 Active Response 的配置。 * `brute_force_sim.sh`：用于测试的攻击模拟脚本。 * `index.html`：**[在线演示]** 一个具有电影级反重力效果的 SOC 模拟器，用于可视化演示。 ## 💻 运行方法（生产环境） 1. **部署技术栈：** docker compose up -d 2. **配置 Wazuh Manager：** * 将 `ossec_snippet.xml` 的内容添加到 `/var/ossec/etc/ossec.conf` 中。 * 将 `shuffle-integration.py` 放置在 `/var/ossec/integrations/` 目录下。 * 重启 Wazuh：`/var/ossec/bin/wazuh-control restart`。 3. **测试流水线：** * 在一个 Agent 上运行 `./brute_force_sim.sh`。 * 在 Wazuh 中验证告警，并在 Shuffle 中验证工作流的执行情况。 ## 🌐 交互式模拟 你可以通过在浏览器中打开 `index.html` 或在部署后通过 GitHub Pages，直接查看交互式的电影级模拟效果。 *专为专业网络安全作品集创建。*

标签：AMSI绕过, Bash, DevSecOps, Discord, Docker, Docker Compose, EDR, PE 加载器, PoC, Python, Shuffle, SOAR, SOC自动化, Sysmon, Telegram, Wazuh, Webhook, 上游代理, 主动响应, 力导向图, 后端开发, 威胁检测, 安全信息与事件管理, 安全告警, 安全运营中心, 安全防御评估, 应用安全, 开源安全工具, 搜索引擎爬取, 攻击模拟, 无后门, 暴力破解, 红队行动, 终端检测与响应, 网络安全, 网络安防, 网络映射, 脆弱性评估, 自动化响应, 请求拦截, 逆向工具, 逆向工程平台, 隐私保护, 驱动签名利用