theSudoer/SOC-Automation-Pipeline

     ## 执行摘要 本仓库包含安全运营中心 (SOC) 自动化 pipeline 的架构文档和系统设计。该架构利用 **n8n**（一个强大的基于节点的 workflow 自动化平台），将 Splunk SIEM 警报与生成式 AI (OpenAI/ChatGPT) 无缝集成。 在此设计中，n8n 作为中央 orchestration 引擎。它会自动捕获触发的警报，将其路由至 AI 进行上下文分类，格式化响应，并向 Slack 交付实时且经过丰富的事件摘要。此设计的目标是演示 workflow orchestration 和 AI 如何解决常见的 SOC 挑战：警报疲劳、分类不一致以及响应平均时间 (MTTR) 缓慢。 ## 业务影响与使用场景 * **对抗警报疲劳：** 通过在人工介入之前对警报进行过滤和上下文分析，确保分析人员只需处理高度可操作的数据。 * **标准化分类：** 依靠结构化的 LLM prompt 工程，消除初始严重性评分中主观的人类偏差。 * **提升运营效率：** 大幅减少手动关联日志所花费的时间，使 Tier 1/2 分析人员能够专注于主动的威胁狩猎和补救。 ## 系统架构与数据流 该 pipeline 被设计为一个完全由 n8n 管理和 orchestration 的事件驱动 workflow。 ### 1. 检测 (Splunk) * Splunk 监控网络流量和 endpoint 日志。 * 一旦检测到异常，就会触发警报。 * **输出：** Splunk 触发一个 webhook，其中包含带有原始事件日志和元数据的 JSON payload。 ### 2. 摄取与 Orchestration (n8n) * **n8n Webhook Node** 持续监听传入的 Splunk 警报。 * 接收到 payload 后，n8n 利用数据转换节点解析出相关字段（源 IP、用户、事件类型、时间戳、失败次数），并为 AI 分析做好准备。 ### 3. AI 分析与丰富 (通过 n8n 调用 OpenAI API) * n8n workflow 使用 HTTP Request 节点（或原生 OpenAI 节点）以及严格结构化的 prompt，将 orchestration 后的数据传递给 OpenAI API。 * **AI 接受的指令包括：** 1. 分析日志上下文。 2. 分配严重性级别（低、中、高、严重）。 3. 用简明扼要的陈述总结威胁。 4. 为分析人员提供三个立即缓解措施。 ### 4. 警报与交付 (通过 n8n 调用 Slack API) * n8n 接收 AI 的响应，将数据格式化为清晰、易读的 JSON block payload，并将其路由到原生的 Slack 节点。 * **输出：** 安全团队在其专用的事件响应频道中收到即时、可操作的通知。 ## 核心组件：Prompt 工程策略 此架构的一个关键部分在于如何向 AI 提供 prompt 以确保获得一致、可靠的结果。该系统采用了系统消息约束方法： **系统 Prompt 示例：** ## 输出：模拟暴力破解攻击 ## 展现的技能 通过设计和 orchestration 此架构，突出了以下能力： * **安全自动化与 Orchestration：** 熟练使用 n8n 等工具构建可靠、多步骤的自动化 workflow。 * **威胁分析：** 深刻理解在诸如暴力破解入侵等高压事件中，哪些数据对 SOC 分析人员最为重要。 * **API 集成：** 掌握不同系统（SIEM、LLM、ChatOps）如何通过 webhook 和 REST API 安全地交换数据。 * **Prompt 工程：** 针对企业安全使用场景，设计具有确定性和可靠性的 AI 交互。

标签：n8n, OpenAI, Petitpotam, Slack, SOC自动化, 内存规避, 告警分诊, 安全运营, 扫描框架