BenmezOthmane/SOAR-Automated-Incident-Response-Lab
GitHub: BenmezOthmane/SOAR-Automated-Incident-Response-Lab
该项目在家庭 SOC 环境中演示了基于 Wazuh、Shuffle、TheHive 和 FortiGate 的 SOAR 自动化事件响应工作流,解决安全告警从检测到遏制全流程手动处理效率低下的问题。
Stars: 0 | Forks: 0
# SOAR 自动化事件响应实验室







## Wazuh • Shuffle • TheHive • FortiGate
## 概述
本项目演示了如何在家庭 SOC 环境中构建自动化的安全编排、自动化与响应(SOAR)工作流。
目标是实现事件响应生命周期的自动化——从告警生成、调查,到 IOC 富化、案例管理、遏制以及分析师通知。
无需手动执行事件响应,本实验室通过编排多种安全工具来缩短响应时间并提升运营效率。
## 目标
- 构建类生产环境的 SOAR 实验室
- 自动化事件响应工作流
- 集成 Wazuh 与 Shuffle
- 在 TheHive 中自动创建案例
- 使用外部威胁情报富化 IOC
- 执行自动化遏制操作
- 生成分析师通知
- 记录每一个自动化工作流
## 实验室组件
| 组件 | 用途 |
|------------|----------|
| Wazuh | SIEM / 检测 |
| Sysmon | Windows 遥测 |
| Windows 10 | Endpoint |
| Kali Linux | 攻击机 |
| Shuffle | SOAR 平台 |
| TheHive | 事件管理 |
| VirusTotal API | IOC 富化 |
| AbuseIPDB API | IP 信誉 |
| URLHaus API | 恶意 URL 查询 |
| FortiGate | 自动化遏制 |
## 事件响应工作流
```
Attack
↓
Detection (Wazuh)
↓
Automation Trigger (Shuffle)
↓
IOC Enrichment
↓
Decision
↓
Create Case (TheHive)
↓
Containment
↓
Notification
↓
Incident Closure
```
## 自动化 Playbook
### 暴力破解响应
```
SSH Brute Force
↓
Detect Login Failures
↓
Extract Source IP
↓
AbuseIPDB Lookup
↓
Create TheHive Case
↓
Block IP (FortiGate)
↓
Notify Analyst
```
### 钓鱼响应
```
Suspicious Email
↓
Extract URL
↓
VirusTotal
↓
URLHaus
↓
Create Case
↓
Tag IOC
↓
Notify Analyst
```
### 恶意 PowerShell 响应
```
PowerShell Detection
↓
Extract Hash
↓
VirusTotal
↓
Create Case
↓
Containment
↓
Notify Analyst
```
标签:FTP漏洞扫描, SOAR, Wazuh, 安全编排, 安全运营, 扫描框架, 自动化响应