faizaanmir/soc-automation-scripts
GitHub: faizaanmir/soc-automation-scripts
一组用于自动化 SOC 重复性任务的 Python 脚本,覆盖告警研判、IOC 富化、事件报告和 Sentinel watchlist 管理。
Stars: 0 | Forks: 0
# SOC 自动化脚本
一组用于自动化重复性 SOC 任务的 Python 脚本:告警研判、IOC 富化、事件报告和 watchlist 管理。基于在 Microsoft Sentinel、IBM QRadar 和 Splunk 环境下真实的 MSSP SOC 运营经验构建。
## 脚本
| 脚本 | 类别 | 描述 |
|---|---|---|
| [`alert-triage/sentinel_alert_triage.py`](alert-triage/sentinel_alert_triage.py) | 研判 | 拉取打开的 Sentinel 事件,通过 TI API 富化 IP/域名,输出优先级的研判列表 |
| [`alert-triage/false_positive_tagger.py`](alert-triage/false_positive_tagger.py) | 研判 | 标记并记录反复出现的误报模式,并提供抑制建议 |
| [`enrichment/bulk_ioc_enricher.py`](enrichment/bulk_ioc_enricher.py) | 富化 | 通过 VirusTotal 和 AbuseIPDB 从文件中批量富化 IOC(完整版本请参见 ioc-enrichment-tool) |
| [`reporting/incident_report_generator.py`](reporting/incident_report_generator.py) | 报告 | 从 JSON 事件摘要生成 Markdown 格式的结构化事件报告 |
| [`reporting/shift_handover_generator.py`](reporting/shift_handover_generator.py) | 报告 | 根据未关闭的事件和待处理操作生成交接班报告 |
| [`utils/watchlist_manager.py`](utils/watchlist_manager.py) | 工具 | 管理 Sentinel watchlist — 通过 Azure REST API 添加/删除/查询 IOC |
## 设置
```
git clone https://github.com/faizaanmir/soc-automation-scripts.git
cd soc-automation-scripts
pip install -r requirements.txt
cp config.example.ini config.ini
# 使用你的 API keys 和 workspace 详情编辑 config.ini
```
## 配置
`config.ini` 保存了所有凭据和工作区设置:
```
[azure]
tenant_id = YOUR_TENANT_ID
client_id = YOUR_CLIENT_ID
client_secret = YOUR_CLIENT_SECRET
subscription_id = YOUR_SUBSCRIPTION_ID
resource_group = YOUR_RESOURCE_GROUP
workspace_name = YOUR_SENTINEL_WORKSPACE
[virustotal]
api_key = YOUR_VT_API_KEY
[abuseipdb]
api_key = YOUR_ABUSEIPDB_API_KEY
```
## 环境要求
- Python 3.8+
- 参见 `requirements.txt`
## 免责声明
这些脚本仅供在您拥有授权访问权限的环境中使用。切勿硬编码凭据 — 请始终使用 `config.ini` 或环境变量。
*作者:Faizaan Sajjad — 安全专家,Orange Cyber Defense*
标签:Python, SIEM集成, SOC自动化, 告警分诊, 威胁情报, 开发者工具, 无后门, 逆向工具