BenmezOthmane/SOAR-Automated-Incident-Response-Lab

GitHub: BenmezOthmane/SOAR-Automated-Incident-Response-Lab

该项目在家庭 SOC 环境中演示了基于 Wazuh、Shuffle、TheHive 和 FortiGate 的 SOAR 自动化事件响应工作流,解决安全告警从检测到遏制全流程手动处理效率低下的问题。

Stars: 0 | Forks: 0

# SOAR 自动化事件响应实验室 ![SOAR](https://img.shields.io/badge/SOAR-Automation-blue) ![Wazuh](https://img.shields.io/badge/Wazuh-SIEM-green) ![Shuffle](https://img.shields.io/badge/Shuffle-Orchestration-orange) ![TheHive](https://img.shields.io/badge/TheHive-Case_Management-yellow) ![FortiGate](https://img.shields.io/badge/FortiGate-Firewall-red) ![MITRE ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK-purple) ![License](https://img.shields.io/badge/License-MIT-lightgrey) ## Wazuh • Shuffle • TheHive • FortiGate ## 概述 本项目演示了如何在家庭 SOC 环境中构建自动化的安全编排、自动化与响应(SOAR)工作流。 目标是实现事件响应生命周期的自动化——从告警生成、调查,到 IOC 富化、案例管理、遏制以及分析师通知。 无需手动执行事件响应,本实验室通过编排多种安全工具来缩短响应时间并提升运营效率。 ## 目标 - 构建类生产环境的 SOAR 实验室 - 自动化事件响应工作流 - 集成 Wazuh 与 Shuffle - 在 TheHive 中自动创建案例 - 使用外部威胁情报富化 IOC - 执行自动化遏制操作 - 生成分析师通知 - 记录每一个自动化工作流 ## 实验室组件 | 组件 | 用途 | |------------|----------| | Wazuh | SIEM / 检测 | | Sysmon | Windows 遥测 | | Windows 10 | Endpoint | | Kali Linux | 攻击机 | | Shuffle | SOAR 平台 | | TheHive | 事件管理 | | VirusTotal API | IOC 富化 | | AbuseIPDB API | IP 信誉 | | URLHaus API | 恶意 URL 查询 | | FortiGate | 自动化遏制 | ## 事件响应工作流 ``` Attack ↓ Detection (Wazuh) ↓ Automation Trigger (Shuffle) ↓ IOC Enrichment ↓ Decision ↓ Create Case (TheHive) ↓ Containment ↓ Notification ↓ Incident Closure ``` ## 自动化 Playbook ### 暴力破解响应 ``` SSH Brute Force ↓ Detect Login Failures ↓ Extract Source IP ↓ AbuseIPDB Lookup ↓ Create TheHive Case ↓ Block IP (FortiGate) ↓ Notify Analyst ``` ### 钓鱼响应 ``` Suspicious Email ↓ Extract URL ↓ VirusTotal ↓ URLHaus ↓ Create Case ↓ Tag IOC ↓ Notify Analyst ``` ### 恶意 PowerShell 响应 ``` PowerShell Detection ↓ Extract Hash ↓ VirusTotal ↓ Create Case ↓ Containment ↓ Notify Analyst ```
标签:FTP漏洞扫描, SOAR, Wazuh, 安全编排, 安全运营, 扫描框架, 自动化响应