AnuragR3k/mini-soar-triage

# 🛡️ Mini-SOAR：自动化 SOC 分诊工具 一个基于 Python 的安全编排、自动化与响应（SOAR）工具，旨在自动化 Tier 1 SOC 分析师处理网络钓鱼和恶意软件警报分诊的任务。 ## 📋 概述 在典型的 SOC 中，Tier 1 分析师需要花费数小时在多个威胁情报平台上手动检查 IP 地址、文件哈希和 URL。此工具通过以下方式自动化该过程： - 同时查询多个威胁情报 API - 应用基于行业最佳实践的加权评分逻辑 - 生成结构化、可操作的 JSON 格式分诊报告 - 将手动分诊时间从几分钟缩短至几秒钟 ## 🚀 功能 - **多 API 威胁情报富化：** - ✅ VirusTotal API - 文件哈希信誉分析 - ✅ AbuseIPDB API - IP 地址信誉及滥用置信度评分 - ✅ GreyNoise API - 区分针对性攻击与互联网背景噪声 - ✅ WHOIS 查询 - 用于网络钓鱼检测的域名年龄分析 - **智能评分系统：** - 基于多指标的加权威胁评分 - 自动严重性分类（MALICIOUS / BENIGN） - 可配置的阈值，用于调整 SOC playbook - **专业输出：** - 结构化的 JSON 报告，可直接集成至 SIEM - 供分析师审查的详细分诊说明 - 带有时间戳的审计追踪 ## 🛠️ 安装说明 1. **克隆代码库：** git clone https://github.com/YOUR_USERNAME/mini-soar-triage.git cd mini-soar-triage 创建虚拟环境： bash python -m venv venv source venv/bin/activate # 在 Windows 上使用：venv\Scripts\activate 安装依赖项： bash 1 pip install -r requirements.txt 配置 API 密钥： 在根目录下创建一个 config.py 文件 添加您的 API 密钥（模板请参见 config.example.py） 注意：为了保护您的凭据，config.py 已被 gitignore 忽略 📖 用法 ``` Prepare your input CSV: Create a CSV file with the following columns: csv 1 2 Run the triage engine: bash 1 Review the output: Check triage_report.json for enriched alert data and threat scores. ``` 🎯 真实用例 ``` Phishing Email Triage: Automatically analyze URLs and attachments from phishing reports SIEM Alert Enrichment: Integrate with Wazuh, Splunk, or Elastic via webhooks Incident Response: Rapidly triage IOCs during active security incidents Threat Hunting: Bulk analyze historical alert data for patterns ``` 📊 示例输出 { "timestamp": "2026-06-17T10:22:15", "user": "agarcia", "source_ip": "185.220.101.1", "threat_score": 50, "severity": "MALICIOUS", "triage_notes": [ "AbuseIPDB HIGH CONFIDENCE (100%)", "GreyNoise: Internet Background Noise (Tor Exit Node)" ] } 🎓 学习目标 本项目展示了： ``` ✅ Python programming for security automation ✅ REST API integration and error handling ✅ Threat intelligence platform usage ✅ SOC triage methodology and playbook development ✅ Secure coding practices (API key management) ✅ JSON data processing and reporting ``` 🔐 安全提示 ``` Never commit API keys to version control Use environment variables for production deployments Implement rate limiting for API calls Validate and sanitize all input data ``` 📝 未来增强计划 ``` Webhook integration for real-time SIEM alerts Slack/Teams notification integration Machine learning-based anomaly detection Docker containerization for easy deployment Web dashboard for report visualization ``` 🤝 贡献 欢迎贡献！请随时提交 Pull Request。

标签：Homebrew安装, Python, SOAR, 威胁情报, 安全运营, 开发者工具, 扫描框架, 无后门, 自动化分类, 逆向工具