Ashurlu/SOC-SOAR-Playbook
GitHub: Ashurlu/SOC-SOAR-Playbook
基于 n8n 构建的 AI 驱动 SOAR 工作流,自动对钓鱼和勒索软件告警进行分诊、情报富化并完成邮件升级通知。
Stars: 0 | Forks: 0
## 🛡️ Agentic SOC SOAR Playbook — n8n + OpenAI + VirusTotal + Gmail
一个完全在 n8n 中构建的 AI 驱动的安全编排、自动化与响应 (SOAR) 工作流。该 playbook 会自动对钓鱼软件和勒索软件警报进行分类,使用 VirusTotal 情报对其进行情报富集,并发送丰富的 HTML 升级邮件 —— 全程无需人工干预。
Complete n8n canvas: Trigger → Orchestrator → IF Router → Ransomware Expert + VirusTotal → Phishing Analyst → Gmail Escalations
## 🏗️ 架构
```
Trigger
└─► Mock Alert Injector (Code Node — 2 alerts)
└─► Orchestrator / Junior Analyst (GPT)
└─► IF: Ransomware or Phishing?
├─► [TRUE] Ransomware Expert Agent (GPT)
│ └─► VirusTotal Hash Check
│ └─► IF: Hash Malicious?
│ ├─► [TRUE] Gmail — Ransomware Escalation
│ └─► [FALSE] Log — Hash Not Malicious
│
└─► [FALSE] Phishing Analyst Agent (GPT)
└─► IF: Confirmed Phishing?
├─► [TRUE] Gmail — Phishing Escalation
└─► [FALSE] Log — Not Confirmed Phishing
```
Complete n8n canvas: Trigger → Orchestrator → IF Router → Ransomware Expert + VirusTotal → Phishing Analyst → Gmail Escalations
## 🏗️ 架构
```
Trigger
└─► Mock Alert Injector (Code Node — 2 alerts)
└─► Orchestrator / Junior Analyst (GPT)
└─► IF: Ransomware or Phishing?
├─► [TRUE] Ransomware Expert Agent (GPT)
│ └─► VirusTotal Hash Check
│ └─► IF: Hash Malicious?
│ ├─► [TRUE] Gmail — Ransomware Escalation
│ └─► [FALSE] Log — Hash Not Malicious
│
└─► [FALSE] Phishing Analyst Agent (GPT)
└─► IF: Confirmed Phishing?
├─► [TRUE] Gmail — Phishing Escalation
└─► [FALSE] Log — Not Confirmed Phishing
```
标签:Agentic SOC, AI安全, AMSI绕过, Ask搜索, Chat Copilot, DAST, DLL 劫持, Gmail, GPT, IP 地址批量处理, IT运维自动化, LLM, Malware, n8n, Object Callbacks, OpenAI, Phishing, Ransomware, SOAR, Unmanaged PE, VirusTotal, 事件分诊, 人工智能, 内存规避, 勒索软件, 反模式检测, 大语言模型, 威胁情报, 威胁检测, 安全事件响应, 安全告警富化, 安全工程, 安全警报分类, 安全运营中心, 工作流自动化, 开发者工具, 恶意软件分析, 搜索语句(dork), 数据可视化, 数据展示, 漏洞管理, 用户模式Hook绕过, 红队, 网络安全, 网络映射, 网络钓鱼, 自动化安全运营, 邮件告警, 钓鱼邮件分类, 隐私保护