Yashwanth24052005/soar-incident-containment-engine
GitHub: Yashwanth24052005/soar-incident-containment-engine
SentinelX SOAR 是一个企业级安全编排、自动化与响应平台,通过标准化告警、威胁情报富化和自动化遏制剧本帮助 SOC 团队缩短事件响应时间。
Stars: 1 | Forks: 0
# SentinelX SOAR - 自动化威胁情报与事件响应平台
SentinelX SOAR 是一个企业级的 Security Orchestration, Automation, and Response (SOAR) 平台,旨在自动化完整的事件响应生命周期——从安全告警接入和威胁情报富化,到自动化遏制和分析师驱动的调查工作流。
该平台从 SIEM、IDS、IPS、EDR 和云安全服务中接入告警,将异构事件格式标准化为统一的 schema,使用外部威胁情报源对 indicators of compromise (IoCs) 进行富化,并执行自动化响应 playbook 以减少 Mean Time to Respond (MTTR)。
作为高级网络安全工程项目的一部分,SentinelX SOAR 展示了现代 SOC 自动化技术、威胁情报集成、云安全编排以及企业 Security Operations Centers (SOCs) 中常用的安全工作流自动化。
## 🏗️ 系统架构
```
┌─────────────────────┐
│ SIEM / IDS │
│ Splunk | QRadar │
│ Wazuh | GuardDuty │
└──────────┬──────────┘
│
│ Webhook Alerts
▼
┌──────────────────────────────────────┐
│ SentinelX SOAR API │
│ FastAPI Listener │
└────────────────┬─────────────────────┘
│
▼
┌──────────────────────────────────────┐
│ Alert Normalization Engine │
│ │
│ • Timestamp Parsing │
│ • Severity Mapping │
│ • Attack Classification │
│ • IoC Extraction │
└────────────────┬─────────────────────┘
│
▼
┌──────────────────────────────────────┐
│ Threat Intelligence Layer │
│ │
│ • AbuseIPDB Integration │
│ • VirusTotal Integration │
│ • Reputation Scoring │
└────────────────┬─────────────────────┘
│
▼
┌──────────────────────────────────────┐
│ Playbook Orchestration Engine │
│ │
│ • Host Isolation │
│ • IP Blocking │
│ • Security Group Updates │
│ • Automated Response Actions │
└────────────────┬─────────────────────┘
│
┌────────────────────┴───────────────────┐
▼ ▼
┌─────────────────────────┐ ┌─────────────────────────┐
│ Case Management Portal │ │ Security Audit Logs │
│ │ │ │
│ • Incident Timeline │ │ • Alert History │
│ • Analyst Dashboard │ │ • Playbook Execution │
│ • RBAC │ │ • Compliance Tracking │
└─────────────────────────┘ └─────────────────────────┘
```
## 🔄 事件响应工作流
```
Alert Generated
│
▼
Alert Ingestion
│
▼
Normalization
│
▼
Threat Intelligence Enrichment
│
▼
Risk Score Calculation
│
▼
Playbook Selection
│
▼
Automated Response
│
▼
Case Creation
│
▼
SOC Analyst Review
```
## 核心功能
* 实时 SIEM 告警接入
* 安全事件标准化引擎
* 自动化威胁情报富化
* Indicator of Compromise (IoC) 提取
* 基于风险的告警优先级排序
* 自动化事件遏制 Playbook
* 安全案例管理仪表板
* Role-Based Access Control (RBAC)
* 安全审计日志
* 云安全编排
* API 驱动的事件响应自动化
## 安全用例
### 暴力破解攻击检测
检测重复的认证失败并自动升级可疑活动。
### 恶意软件事件调查
提取恶意文件哈希,并使用外部威胁情报服务对其进行富化。
### 威胁情报关联
结合多个情报源来计算风险评分并确定事件的优先级。
### 自动化事件遏制
执行预定义的响应操作,例如 IP 封锁、主机隔离和安全组修改。
### SOC 工作流自动化
通过自动执行重复性的安全运营任务来减少人工分诊的工作量。
## 技术栈
### 后端
* Python
* FastAPI
* Pydantic
### 威胁情报
* VirusTotal API
* AbuseIPDB API
### 云与自动化
* AWS SDK (Boto3)
* REST API
### 安全运营
* SOAR 架构
* 威胁情报集成
* 事件响应自动化
* 安全事件标准化
### DevOps
* GitHub Actions
* Docker(未来增强功能)
* CI/CD Pipelines
## 项目目标
* 减少 Mean Time to Respond (MTTR)
* 自动化重复性的 SOC 工作流
* 标准化安全事件处理
* 提高威胁可见性和优先级排序
* 展示企业级网络安全工程实践
## 开发路线图
| 阶段 | 描述 |
| ------ | ------------------------------------ |
| 第 1 周 | 告警接入与数据标准化 |
| 第 2 周 | 威胁情报富化 |
| 第 3 周 | 自动化 Playbook 执行 |
| 第 4 周 | 仪表板、RBAC 与案例管理 |
## 作者
Yashwanth
# 网络安全工程项目 – SentinelX SOAR
# soar-incident-containment-engine
SentinelX SOAR:自动化威胁情报与事件响应平台
标签:AV绕过, FastAPI, PB级数据处理, SIEM集成, SOAR平台, 威胁情报, 安全运维, 开发者工具, 自动化响应, 请求拦截, 逆向工具