Bussaka/soar_incident_response_lab

GitHub: Bussaka/soar_incident_response_lab

一个基于日志检测、威胁情报富化与自动化防火墙阻断的 SOAR 实验环境,演示企业级自动化事件响应的完整闭环。

Stars: 0 | Forks: 0

# 企业威胁情报与自动化事件响应 (SOAR) 实验环境 一个实践性的 SOAR 作品集项目,演示了基于日志的威胁检测、通过威胁情报 API 进行的自动富化,以及自动化遏制。 ## 架构 - **阶段 1 - 传感器**:Ubuntu Server 目标虚拟机,通过 journald 进行 SSH 暴力破解检测 - **阶段 2 - 自动化器**:n8n 工作流引擎 (Docker) - **阶段 3 - 大脑**:AbuseIPDB 威胁情报富化 - **阶段 4 - 响应器**:自动化防火墙阻断 + 告警 ## 实验拓扑 - Kali Linux(攻击者) - 192.168.56.20 - Ubuntu Server(目标) - 192.168.56.10(内部网络) / 192.168.56.101(Host-only,用于 n8n webhook 可达性) - n8n - Windows 宿主机上的 Docker Desktop - 192.168.56.1:5678 ## 状态 - [x] 实验网络构建并验证完毕 - [x] 通过 hydra 模拟 SSH 暴力破解,已在 journald 中确认 - [x] 编写传感器脚本 - [x] n8n 工作流 - [x] 端到端测试 ## 架构 ``` flowchart LR A[Kali Linux\n192.168.56.20] -->|hydra SSH\nbrute-force| B[Ubuntu Server\n192.168.56.10] B -->|journald\nlog stream| C[sensor.py\n5 fails/10s] C -->|webhook\nPOST JSON| D[n8n SOAR\n192.168.56.1:5678] D -->|IP lookup| E[AbuseIPDB\nconfidence score] E --> F{IF node\nscore threshold} F -->|true| G[iptables DROP\nattacker IP] F -->|false| H[No action] G --> I[Security Alert\nwebhook/Slack] G -.->|SSH cmd| B ```
标签:n8n, 威胁情报, 安全运营, 开发者工具, 扫描框架, 自动化响应, 请求拦截, 逆向工具, 防火墙