Dilawer-Khan-Niazi/Automated-SOC-Architecture-Wazuh-Shuffle-Suricata

Automated-SOC-Architecture-Wazuh-Shuffle-Suricata 一个全面、端到端的自动化安全运营中心（SOC）框架。本项目集成了 Wazuh（SIEM/XDR）、Shuffle（SOAR）和 Suricata（IDS），以实现威胁检测、通过外部 API 进行指标富化以及主动的事件响应。 项目概述： 此代码库记录了一个完全自动化的 SOC 环境的架构和部署，旨在最大程度地缩短响应时间（TTR）。通过利用开源工具和 API 集成，该系统能够识别恶意活动，并在无需人工干预的情况下执行防御性剧本。 核心功能： SIEM/XDR 集成：使用 Wazuh 进行集中式日志管理和事件关联。 网络防御：使用 Suricata 进行实时网络流量分析并生成告警。 SOAR 工作流：使用 Shuffle 连接安全工具，实现自动化的事件编排。 威胁情报富化：使用 VirusTotal 和 AbuseIPDB API 自动进行 IOC 查询。 主动响应：针对 SSH 暴力破解和恶意软件执行等威胁，自动进行 IP 封禁（iptables）和主机级别的遏制（PowerShell/Bash）。 技术栈Wazuh：检测与端点安全。 Suricata：网络入侵检测（IDS）。 Shuffle：安全编排、自动化与响应（SOAR）。 操作系统：Windows Server 2022、Bodhi Linux（基于 Ubuntu）。 语言：PowerShell、Bash、Python（用于自定义 API 钩子）。文档完整的技术分解，包括架构图和分步实施细节，请参见已上传的 PDF。

标签：AI合规, Metaprompt, SOAR, 入侵检测系统, 威胁情报, 安全数据湖, 安全编排与自动化响应, 安全运营中心, 应用安全, 开发者工具, 红队行动, 网络信息收集, 网络映射, 自动化防御, 逆向工具