Prasad-Kedar/SOAR-Incident-Containment-Engine
GitHub: Prasad-Kedar/SOAR-Incident-Containment-Engine
一款自动化安全编排与事件响应平台,通过威胁情报集成和自动化工作流帮助安全团队快速检测、分析和遏制网络安全事件。
Stars: 1 | Forks: 0
# SOAR 事件遏制引擎
**Infotact 网络安全实习项目**
## 项目概述
SOAR(安全编排、自动化与响应)事件遏制引擎旨在自动化安全事件检测、威胁情报分析、告警管理和事件响应工作流。该平台通过自动化帮助安全团队缩短响应时间,提高事件处理效率。
## 团队成员
| 姓名 | 角色 |
| -------------- | ----------------------- |
| Prasad Kedar | 团队负责人 |
| Al Ameen Ayoob | 开发人员 |
| Adarsh | 开发人员 |
| Nelna K Siyad | 文档与测试 |
## 目标
* 自动化事件检测和响应流程。
* 缩短遏制安全威胁所需的时间。
* 针对可疑活动生成告警。
* 维护事件日志和审计追踪。
* 提高整体安全运营效率。
## 功能
* 告警接入
* 威胁情报集成
* 事件响应自动化
* 仪表盘监控
* 日志和监控
* REST API 集成
* 事件报告
## 技术栈
* Python
* FastAPI
* SQLite
* REST API
* Git & GitHub
* Postman
* Pytest
## 数据库设计
本项目使用 SQLite 进行数据存储。
### 数据表
* 用户 (Users)
* 设备 (Devices)
* 日志 (Logs)
### 关系
* 用户生成日志。
* 设备会被注册并受到监控。
* 日志存储安全事件和事件活动。
## API 调研
### VirusTotal API
* 威胁情报
* 文件哈希分析
* URL 信誉
### AbuseIPDB API
* IP 信誉
* 恶意 IP 报告
* 威胁检测
## 告警接入 API
### POST /alerts
接收来自 SIEM 系统的告警并将其存储以供处理。
### GET /alerts
检索所有已接收的告警。
## 后端更新
* 创建了威胁情报模块。
* 添加了威胁情报评分。
* 实现了获取告警的 API endpoint。
## 测试更新
* 验证了威胁情报评分。
* 测试了告警持久化工作流。
* 测试了告警检索功能。
* 使用 Postman 验证了 API 响应。
## 文档更新
* 添加了威胁情报工作流文档。
* 更新了 README 以包含最新项目进展。
* 准备了测试用例文档。
* 维护了项目文档记录。
## UI 设计
仪表盘 UI 包含:
* 顶部导航栏
* 侧边导航栏
* 活动告警部分
* 事件统计
* 近期活动
### UI 文件
* `ui/wireframes/dashboard-wireframe.md`
* `ui/ui-requirements.md`
## 项目结构
```
SOAR-Incident-Containment-Engine/
├── api/
├── services/
├── database/
├── tests/
├── docs/
├── ui/
└── README.md
```
## 安装说明
### 克隆仓库
```
git clone https://github.com/Prasad-Kedar/SOAR-Incident-Containment-Engine.git
```
### 导航至项目目录
```
cd SOAR-Incident-Containment-Engine
```
### 安装依赖项
```
pip install -r requirements.txt
```
### 运行应用程序
```
uvicorn main:app --reload
```
## 测试
### 测试活动
* 功能测试
* API 测试
* 集成测试
* 用户验收测试
### 测试工具
* Postman
* Pytest
## 文档
项目文档包括:
* 软件需求规格说明书 (SRS)
* 测试用例
* 测试报告
* API 文档
* 用户指南
* 缺陷报告
## 第 1 周进展
* 项目规划已完成。
* 需求收集已完成。
* 数据库 schema 已设计完成。
* 告警接入 API 已实现。
* 威胁情报模块已创建。
* UI 线框图已准备完成。
* 初始测试已完成。
* 文档已更新。
## 未来增强
* 高级威胁情报集成
* 自动化恶意软件分析
* 实时仪表盘
* 基于机器学习的事件分类
* 多平台安全集成
## 项目演示
演示视频:
https://youtu.be/VqMqUd9eYB8?si=RdB9dlTFJiotBA5b
标签:AV绕过, FastAPI, Python, SOAR, 威胁情报, 安全运营, 开发者工具, 扫描框架, 无后门, 网络信息收集, 网络安全研究, 自动化响应, 逆向工具