Emerole7/SOC-Automation-Project

# SOC自动化项目 一个展示使用开源工具实现端到端SOC自动化家庭实验室项目。该项目集成了Wazuh (SIEM/EDR)、Shuffle (SOAR) 和 TheHive (案例管理)，以自动执行告警分诊、信息富化和响应。 概述 本项目记录了使用三个开源平台构建SOC自动化流程的过程： Wazuh — SIEM 和 EDR TheHive — 案例管理 Shuffle — SOAR（安全编排、自动化与响应） 该实验室模拟了一个真实的检测与响应工作流程：在Windows端点上执行Mimikatz会触发Wazuh告警，该告警被转发至Shuffle，通过VirusTotal进行富化，作为案例升级到TheHive，并通过电子邮件通知SOC分析师，整个过程全自动完成。 架构 Windows客户端（Sysmon + Wazuh代理） ``` | | (OSSEC events) ``` Wazuh管理器（Ubuntu） ``` | | (Integration webhook) ``` Shuffle SOAR ``` | |--- Extract SHA256 hash |--- Query VirusTotal (reputation score) |--- Create Alert in TheHive |--- Send email to SOC Analyst | | (SOC Analyst reviews alert in TheHive, triggers response) | ``` Shuffle SOAR（响应工作流） ``` | |--- Kill malicious process on endpoint |--- Quarantine malicious file on endpoint |--- Block malicious hash via Windows Firewall ``` Wazuh管理器（主动响应） ``` | ``` Windows客户端（已执行修复）

标签：Ask搜索, CIDR查询, Conpot, Mimikatz检测, Shuffle, SOC自动化, Sysmon, TheHive, Ubuntu服务器, VirusTotal, Wazuh, Windows安全, 二进制发布, 威胁响应, 威胁情报, 安全信息与事件管理, 安全运营中心, 家庭实验室, 开发者工具, 开源工具, 搜索引擎爬取, 电子邮件通知, 端到端自动化, 端点检测与响应, 网络映射, 脱壳工具, 自动化响应, 警报丰富, 警报分类