dilsara-sandun/cloud-native-purple-soar

GitHub: dilsara-sandun/cloud-native-purple-soar

该项目是一个零成本、无服务器的紫队威胁模拟与事件响应自动化流水线,用 Python 模拟应用层攻击并通过多 API 实时富化威胁情报和企业告警推送,帮助小型安全团队在低资源环境下实现快速事件响应编排。

Stars: 0 | Forks: 0

\# 云原生多 API 事件响应自动化流水线 \## 📌 项目概述 本仓库包含一个 100% 免费、生产级且无服务器的多 API 安全编排与事件响应流水线。该项目使用 Python 原生开发,可模拟真实的应用层网络攻击(Purple Teaming),拦截恶意 Web 遥测数据,通过外部 API 执行实时云威胁情报富化,并直接向企业 Slack 基础设施编排近乎即时的告警。 该项目旨在解决高架构依赖性、消除告警疲劳,并展示深度的编程级事件响应能力——所有这些都能在低硬件环境(低于 8GB RAM)下高效运行,无需依赖庞大的本地 hypervisor 或付费的云资源许可。 \--- \## 📐 系统架构蓝图 \[ 本地主机终端 ]│ ▼ (Python 3 攻击模拟:SQLi / XSS 遥测)\[ 结构化 JSON Post 请求 ]│ ▼ (直接传输 / 消除中间云风险)\[ 多 API 威胁情报富化层 ] ──> 编程式查询 ──> \[ VirusTotal 数据库 API ]│ ▼ (聚合遥测解析)\[ 自动化企业通知引擎 ] ──> REST API 投递 ──> \[ Slack 企业基础设施 ] \## 🛠️ 集成的企业技术栈 \* \*\*自动化与脚本核心:\*\* Python 3(高级 REST API 请求处理) \* \*\*威胁情报生态系统:\*\* VirusTotal v3 Web 文件信誉 API \* \*\*防御性日志聚合:\*\* 动态 JSON 参数提取流水线 \* \*\*运营级企业告警:\*\* Slack Incoming Webhooks 频道集成 \--- \## 🚀 分步实施指南 \### 📋 前置条件 确保您的本地主机已部署最新的 Python 3 解释器。通过终端安装所需的网络传输模块: ``` pip install requests ``` \### 🔹 第一步:获取威胁情报凭证 1\. 在 \[VirusTotal](https://virustotal.com) 注册一个免费账号。导航至:\*\*用户资料 -> My API Key\*\* 以获取您的唯一字符串。 2\. 在您的企业工作区 \[Slack](https://slack.com) 中设置一个免费的专用通信频道。 3\. 通过 \[Slack API 门户](https://slack.com) 创建一个企业级自动化机器人,激活 \*\*Incoming Webhooks\*\*,并将其直接绑定到您新配置的 `#incident-response` 监控频道,以生成目标 Webhook URL。 \### 🔹 第二步:建立脚本环境 在您的文件系统中配置一个名为 `attack\_sim.py` 的本地生产文件并执行参数。使用您已获取的安全配置更新全局目标数组: \* `SLACK\_URL = "YOUR\_SLACK\_INCOMING\_WEBHOOK\_URL"` \* `VT\_API\_KEY = "YOUR\_VIRUSTOTAL\_API\_KEY"` \### 🔹 第三步:运行编排沙盒 打开您的命令提示符 (CMD) 或终端界面,导航至您的暂存目录,并执行核心控制器: ``` python attack\_sim.py ``` \--- \## 🎯 架构业务与运营影响 \* \*\*解决告警疲劳:\*\* 完全自动化原始安全指标审查,在引入真实人工人员之前,自主过滤威胁可信度级别。 \* \*\*大幅降低 MTTR:\*\* 将运营平均响应时间 (MTTR) 从 25 分钟的企业标准基准线降低至前所未有的 \*\*2 秒以内\*\* 的自动化验证扫描。 \* \*\*基础设施效率:\*\* 通过利用轻量级边缘脚本执行协议,消除了初始评估状态下繁重的企业 SIEM 存储需求。 \---
标签:CISA项目, FTP漏洞扫描, Homebrew安装, Python, 威胁情报, 安全编排, 开发者工具, 无后门, 紫队, 自动化响应