Bussaka/soar_incident_response_lab
GitHub: Bussaka/soar_incident_response_lab
一个基于日志检测、威胁情报富化与自动化防火墙阻断的 SOAR 实验环境,演示企业级自动化事件响应的完整闭环。
Stars: 0 | Forks: 0
# 企业威胁情报与自动化事件响应 (SOAR) 实验环境
一个实践性的 SOAR 作品集项目,演示了基于日志的威胁检测、通过威胁情报 API 进行的自动富化,以及自动化遏制。
## 架构
- **阶段 1 - 传感器**:Ubuntu Server 目标虚拟机,通过 journald 进行 SSH 暴力破解检测
- **阶段 2 - 自动化器**:n8n 工作流引擎 (Docker)
- **阶段 3 - 大脑**:AbuseIPDB 威胁情报富化
- **阶段 4 - 响应器**:自动化防火墙阻断 + 告警
## 实验拓扑
- Kali Linux(攻击者) - 192.168.56.20
- Ubuntu Server(目标) - 192.168.56.10(内部网络) / 192.168.56.101(Host-only,用于 n8n webhook 可达性)
- n8n - Windows 宿主机上的 Docker Desktop - 192.168.56.1:5678
## 状态
- [x] 实验网络构建并验证完毕
- [x] 通过 hydra 模拟 SSH 暴力破解,已在 journald 中确认
- [x] 编写传感器脚本
- [x] n8n 工作流
- [x] 端到端测试
## 架构
```
flowchart LR
A[Kali Linux\n192.168.56.20] -->|hydra SSH\nbrute-force| B[Ubuntu Server\n192.168.56.10]
B -->|journald\nlog stream| C[sensor.py\n5 fails/10s]
C -->|webhook\nPOST JSON| D[n8n SOAR\n192.168.56.1:5678]
D -->|IP lookup| E[AbuseIPDB\nconfidence score]
E --> F{IF node\nscore threshold}
F -->|true| G[iptables DROP\nattacker IP]
F -->|false| H[No action]
G --> I[Security Alert\nwebhook/Slack]
G -.->|SSH cmd| B
```
标签:n8n, 威胁情报, 安全运营, 开发者工具, 扫描框架, 自动化响应, 请求拦截, 逆向工具, 防火墙