faizaanmir/soc-automation-scripts

GitHub: faizaanmir/soc-automation-scripts

一组用于自动化 SOC 重复性任务的 Python 脚本,覆盖告警研判、IOC 富化、事件报告和 Sentinel watchlist 管理。

Stars: 0 | Forks: 0

# SOC 自动化脚本 一组用于自动化重复性 SOC 任务的 Python 脚本:告警研判、IOC 富化、事件报告和 watchlist 管理。基于在 Microsoft Sentinel、IBM QRadar 和 Splunk 环境下真实的 MSSP SOC 运营经验构建。 ## 脚本 | 脚本 | 类别 | 描述 | |---|---|---| | [`alert-triage/sentinel_alert_triage.py`](alert-triage/sentinel_alert_triage.py) | 研判 | 拉取打开的 Sentinel 事件,通过 TI API 富化 IP/域名,输出优先级的研判列表 | | [`alert-triage/false_positive_tagger.py`](alert-triage/false_positive_tagger.py) | 研判 | 标记并记录反复出现的误报模式,并提供抑制建议 | | [`enrichment/bulk_ioc_enricher.py`](enrichment/bulk_ioc_enricher.py) | 富化 | 通过 VirusTotal 和 AbuseIPDB 从文件中批量富化 IOC(完整版本请参见 ioc-enrichment-tool) | | [`reporting/incident_report_generator.py`](reporting/incident_report_generator.py) | 报告 | 从 JSON 事件摘要生成 Markdown 格式的结构化事件报告 | | [`reporting/shift_handover_generator.py`](reporting/shift_handover_generator.py) | 报告 | 根据未关闭的事件和待处理操作生成交接班报告 | | [`utils/watchlist_manager.py`](utils/watchlist_manager.py) | 工具 | 管理 Sentinel watchlist — 通过 Azure REST API 添加/删除/查询 IOC | ## 设置 ``` git clone https://github.com/faizaanmir/soc-automation-scripts.git cd soc-automation-scripts pip install -r requirements.txt cp config.example.ini config.ini # 使用你的 API keys 和 workspace 详情编辑 config.ini ``` ## 配置 `config.ini` 保存了所有凭据和工作区设置: ``` [azure] tenant_id = YOUR_TENANT_ID client_id = YOUR_CLIENT_ID client_secret = YOUR_CLIENT_SECRET subscription_id = YOUR_SUBSCRIPTION_ID resource_group = YOUR_RESOURCE_GROUP workspace_name = YOUR_SENTINEL_WORKSPACE [virustotal] api_key = YOUR_VT_API_KEY [abuseipdb] api_key = YOUR_ABUSEIPDB_API_KEY ``` ## 环境要求 - Python 3.8+ - 参见 `requirements.txt` ## 免责声明 这些脚本仅供在您拥有授权访问权限的环境中使用。切勿硬编码凭据 — 请始终使用 `config.ini` 或环境变量。 *作者:Faizaan Sajjad — 安全专家,Orange Cyber Defense*
标签:Python, SIEM集成, SOC自动化, 告警分诊, 威胁情报, 开发者工具, 无后门, 逆向工具