BabaDee-code/siem-soar-detection-incident-automation
GitHub: BabaDee-code/siem-soar-detection-incident-automation
一个以检测即代码为核心的安全检测工程实验项目,覆盖从日志解析、规则匹配、ATT&CK 映射到告警富化与响应剧本的 SIEM/SOAR 全流程。
Stars: 0 | Forks: 0
# SIEM/SOAR 检测工程与事件自动化
一个达到作品集标准的检测工程与事件自动化实验项目,展示了日志解析、受 Sigma 启发的检测规则、MITRE ATT&CK 映射、告警富化、严重性评分以及安全响应剧本建议。
## 本项目展示了什么
- 使用 YAML 规则的检测即代码设计
- SIEM 风格的事件处理与告警生成
- MITRE ATT&CK 技术映射
- 自动化告警富化与严重性评分
- SOAR 风格的事件响应建议逻辑
- 用于保障检测可靠性的单元测试与 CI 验证
## 仓库结构
```
src/detection_lab/ Detection engine and CLI
rules/ YAML detection rules
data/sample_events.jsonl Sample security events
tests/ Unit tests
.github/workflows/ci.yml Automated test workflow
docs/playbooks.md Incident response playbook mapping
```
## 本地运行
```
python -m venv .venv
source .venv/bin/activate # Windows: .venv\\Scripts\\activate
pip install -r requirements-dev.txt
pytest -q
python -m detection_lab.run data/sample_events.jsonl rules
```
## 示例告警
```
{
"rule_id": "DET-001",
"title": "Multiple Failed Login Attempts",
"severity": "medium",
"mitre_attack": "T1110",
"recommended_playbook": "account_bruteforce_triage"
}
```
## 涵盖的安全控制
- 检测工程生命周期
- 告警分诊与富化
- MITRE ATT&CK 映射
- 事件响应剧本选择
- 针对检测质量的可重复测试
- 审计就绪的检测文档
## 作品集亮点探讨
本项目展示了我将如何构建一个具备可测试性、可解释性且具备实际运维价值的检测工程 pipeline。它体现了在 SIEM 内容、SOAR 逻辑、事件分诊以及自动化方面实际的 SecOps 工程能力。
标签:Cloudflare, MITRE ATT&CK, Python, SOAR, 安全规则引擎, 安全运营, 扫描框架, 无后门, 自动化响应, 逆向工具