nandhana-ps/soar-incident-response-engine

# soar-incident-response-engine 用于自动化安全事件检测、分类和响应工作流的 SOAR 模拟项目（SOC 实践项目）。 # 概述 一个安全编排、自动化与响应 (SOAR) 平台，旨在自动化安全事件检测、威胁情报富集、事件抑制以及分析师通知工作流。 本项目模拟了企业 SOC 环境，将 SIEM 生成的告警通过 SOAR playbook 自动处理，以缩短事件响应时间并提升安全运营效率。 ## 目标 - 自动化安全事件响应工作流 - 在企业环境中模拟 SOC + SOAR 运营 - 提升事件检测和抑制速度 - 将威胁情报整合到安全决策中 ## 功能 - 从 SIEM 来源获取告警 - IOC (Indicator of Compromise) 提取 - 威胁情报富集 - 自动化响应 Playbook - AWS 安全自动化工作流 - 基于角色的访问控制 (RBAC) - 事件跟踪仪表板 ## 技术栈 - Python - FastAPI - PostgreSQL - AWS (云安全自动化) - Docker - GitHub Actions (CI/CD) ## 工作流 SIEM 告警 → SOAR 引擎 → IOC 提取 → 威胁情报 → Playbook 执行 → 事件抑制 → 分析师通知 ## 关键影响 - 减少 SOC 人工工作负载 - 缩短事件响应时间 - 增强安全运营中的自动化 - 模拟真实世界的 MSSP 环境

标签：AV绕过, AWS, Docker, DPI, FastAPI, PB级数据处理, SOAR, 安全事件响应, 安全运维, 安全防御评估, 测试用例, 漏洞利用检测, 自动化响应, 请求拦截, 逆向工具