sanyasachdeva1/SOC-Incident-Response-Automation-Toolkit
GitHub: sanyasachdeva1/SOC-Incident-Response-Automation-Toolkit
一个基于Python的SOC事件响应自动化工具包,用于多源安全日志分诊和报告生成。
Stars: 0 | Forks: 0
# SOC与事件响应自动化工具包
基于Python的SOC分诊工具包,用于分析样本安全遥测数据,检测可疑行为,使用本地威胁情报丰富发现结果,分配风险评分,并生成分析师就绪的报告。
它可离线运行,使用样本Linux、Windows、AWS、IAM、Nmap、IOC、Sigma和YARA风格的输入。
## 核心工作流
1. 解析本地安全遥测数据和导出的日志。
2. 在Linux、Windows、AWS、IAM、Nmap、IOC、Sigma和YARA风格的输入上运行分析器。
3. 将检测结果规范化为共享的发现模型。
4. 使用本地威胁情报丰富发现结果。
5. 应用严重性和风险评分。
6. 生成报告、仪表盘、时间线、案件档案和剧本建议。
## 架构
```
flowchart LR
A["Sample Data / External Exports"] --> B["Input Collector"]
B --> C["Analyzers"]
C --> D["Structured Finding Model"]
D --> E["Threat Intel Enrichment"]
E --> F["Risk Scoring"]
F --> G["SOC Triage Report"]
F --> H["HTML Dashboard"]
F --> I["Incident Timeline"]
F --> J["Incident Case File"]
F --> K["SOAR Playbooks"]
C1["Linux Auth Logs"] --> C
C2["AWS CloudTrail"] --> C
C3["Windows Events"] --> C
C4["Nmap XML"] --> C
C5["IAM Policy JSON"] --> C
C6["Sigma / YARA-style Rules"] --> C
```
## 实时仪表盘
[打开SOC仪表盘](https://sanyasachdeva1.github.io/python-security-automation-scripts/reports/soc_dashboard.html)
## 主要特性
- 包含严重性、证据、建议、MITRE映射和来源跟踪的共享发现模型
- 跨Linux、Windows、AWS、IAM、Nmap、IOC、Sigma和YARA风格数据的多源SOC分诊
- 本地威胁情报丰富
- 0–100的风险评分
- Markdown、JSON、HTML仪表盘、时间线、案件档案和SOAR风格的剧本输出
- 离线优先的样本数据,便于审查
- pytest验证和GitHub Actions CI
## 仓库结构
| 文件夹 | 用途 |
|---|---|
| `scripts/` | Python自动化脚本和分析器 |
| `sample-data/` | 样本日志、IOC文件、Nmap XML、IAM策略、CloudTrail事件、Windows事件、规则 |
| `reports/` | 生成的SOC报告、仪表盘、时间线、案件档案和剧本 |
| `screenshots/` | 执行截图 |
| `docs/` | 扩展用法和文档 |
| `config/` | 可选的外部输入收集示例 |
| `tests/` | 基于pytest的验证 |
## 主要脚本
| 脚本 | 用途 |
|---|---|
| `soc_triage.py` | 运行主要的SOC分诊流水线 |
| `log_anomaly_detector.py` | 检测重复的SSH登录失败尝试 |
| `ioc_checker.py` | 将日志与已知入侵指标匹配 |
| `nmap_scan_parser.py` | 解析Nmap XML并标记暴露的服务 |
| `iam_policy_checker.py` | 检查IAM策略中的风险权限 |
| `cloudtrail_analyzer.py` | 检测可疑的AWS CloudTrail事件 |
| `windows_event_analyzer.py` | 检测可疑的Windows安全事件 |
| `rule_scanner.py` | 运行Sigma和YARA风格的检测 |
| `incident_timeline.py` | 构建按时间顺序排列的事件时间线 |
| `case_manager.py` | 生成SOC案件档案 |
| `html_dashboard.py` | 生成HTML仪表盘 |
| `threat_intel_enricher.py` | 使用本地威胁情报源丰富发现结果 |
| `risk_scoring.py` | 应用数值风险评分 |
| `soar_playbooks.py` | 生成响应剧本建议 |
| `input_collector.py` | 将外部文件导出或URL源收集到规范化的输入中 |
## 快速演示
运行完整的SOC分诊流水线:
```
python3 scripts/soc_triage.py
```
生成主要的作品集产出:
```
python3 scripts/soc_triage.py --format markdown --output reports/soc_triage_report.md
python3 scripts/incident_timeline.py --output reports/incident_timeline.md
python3 scripts/case_manager.py --output reports/incident_case.md
python3 scripts/html_dashboard.py --output reports/soc_dashboard.html
python3 scripts/soar_playbooks.py --output reports/soar_playbooks.md
```
生成机器可读的JSON:
```
python3 scripts/soc_triage.py --format json --output reports/soc_triage_report.json
```
## 示例输出
基于提供的演示数据的预期样本结果:
- 共20个发现
- 针对特权Windows组修改、可疑AWS IAM策略附加和通配符IAM访问的关键发现
- 针对编码的PowerShell、CloudTrail访问密钥创建、SSH暴力破解、IOC匹配和暴露SSH的高风险检测
- 0–100的风险评分,以帮助确定分析师响应的优先级
## 报告输出
| 报告 | 用途 |
|---|---|
| `reports/soc_triage_report.md` | 带有证据、丰富信息、风险评分和建议的优先级SOC发现 |
| `reports/soc_dashboard.html` | 浏览器友好的仪表盘,包含严重性指标和发现表 |
| `reports/incident_timeline.md` | 跨Linux、AWS和Windows遥测数据的按时间顺序排列的事件时间线 |
| `reports/incident_case.md` | 案件管理风格的事件记录,包含检查清单 |
| `reports/soar_playbooks.md` | 建议的响应剧本,映射到触发的发现 |
## 数据源
本项目采用离线优先设计。默认情况下,它不会调用AWS、VirusTotal、AbuseIPDB或任何外部API。
所有演示输入数据都在`sample-data/`中,包括:
- Linux认证日志
- CloudTrail类记录
- Windows事件记录
- IOC列表
- IAM策略JSON
- Nmap XML
- Sigma规则
- YARA风格的规则
- 本地威胁情报源
可以通过收集器工作流添加可选的实时或导出集成,而无需更改分析器和报告逻辑。
## 文档
扩展文档位于:
| 文档 | 用途 |
|---|---|
| `docs/external_data_sources.md` | 可选的收集器工作流和外部输入示例 |
| `docs/lab_steps.md` | 分步实验室执行指南 |
## 测试与CI
运行本地测试:
```
pytest
```
本仓库使用GitHub Actions在每次推送和拉取请求时验证Python语法并运行测试。
工作流验证:
- 所需的脚本和样本数据是否存在
- Python文件编译成功
- 分析器行为和发现结构
- 基本的pytest检查通过
## 生产扩展路径
本项目可通过以下收集器进行扩展:
- 来自Splunk、Sentinel、Elastic或QRadar的SIEM导出
- 来自Defender、CrowdStrike、SentinelOne或osquery的EDR导出
- 来自S3、CloudWatch Logs或AWS API的AWS CloudTrail
- 威胁情报API,如VirusTotal、AbuseIPDB、GreyNoise、OTX或MISP
- 工单系统,如Jira、ServiceNow、TheHive或GitHub Issues
## 简历相关性
本项目展示了以下方面的实践经验:
- SOC分诊自动化
- 事件响应工作流设计
- 安全日志分析
- IOC匹配与丰富
- MITRE ATT&CK映射
- 风险评分
- 报告生成
- 基于Python的安全工具
- GitHub Actions CI
## 与众不同之处
与单一用途的SOC脚本不同,本项目连接了事件响应工作流的多个部分:
- 跨Linux认证日志、AWS CloudTrail、Windows事件、IAM策略、Nmap XML、IOC、Sigma风格规则和YARA风格规则的多源分诊
- 离线优先设计,使用逼真的样本数据,无需云凭证或付费API即可审查项目
- 在分析器之间共享结构化的`Finding`模型,确保证据、严重性、MITRE映射、建议、丰富信息和风险评分的一致性
- 分析师就绪的输出,包括仪表盘、Markdown报告、JSON报告、事件时间线、案件档案和SOAR剧本
- 面向未来的收集器层,支持外部SIEM、EDR、云和威胁情报源
- 适合作品集的平衡:足够广泛以展示SOC/IR思维,但不过度膨胀为完整的SIEM平台
## 免责声明
本项目仅用于教育和防御性安全目的。它使用安全的样本数据,默认情况下不与生产系统、外部API或实时环境交互。
仅分析您拥有或被授权审查的日志、指标或导出的遥测数据。
标签:安全规则引擎, 逆向工具