dilsara-sandun/cloud-native-purple-soar
GitHub: dilsara-sandun/cloud-native-purple-soar
该项目是一个零成本、无服务器的紫队威胁模拟与事件响应自动化流水线,用 Python 模拟应用层攻击并通过多 API 实时富化威胁情报和企业告警推送,帮助小型安全团队在低资源环境下实现快速事件响应编排。
Stars: 0 | Forks: 0
\# 云原生多 API 事件响应自动化流水线
\## 📌 项目概述
本仓库包含一个 100% 免费、生产级且无服务器的多 API 安全编排与事件响应流水线。该项目使用 Python 原生开发,可模拟真实的应用层网络攻击(Purple Teaming),拦截恶意 Web 遥测数据,通过外部 API 执行实时云威胁情报富化,并直接向企业 Slack 基础设施编排近乎即时的告警。
该项目旨在解决高架构依赖性、消除告警疲劳,并展示深度的编程级事件响应能力——所有这些都能在低硬件环境(低于 8GB RAM)下高效运行,无需依赖庞大的本地 hypervisor 或付费的云资源许可。
\---
\## 📐 系统架构蓝图
\[ 本地主机终端 ]│
▼ (Python 3 攻击模拟:SQLi / XSS 遥测)\[ 结构化 JSON Post 请求 ]│
▼ (直接传输 / 消除中间云风险)\[ 多 API 威胁情报富化层 ]
──> 编程式查询 ──> \[ VirusTotal 数据库 API ]│
▼ (聚合遥测解析)\[ 自动化企业通知引擎 ] ──> REST API 投递 ──> \[ Slack 企业基础设施 ]
\## 🛠️ 集成的企业技术栈
\* \*\*自动化与脚本核心:\*\* Python 3(高级 REST API 请求处理)
\* \*\*威胁情报生态系统:\*\* VirusTotal v3 Web 文件信誉 API
\* \*\*防御性日志聚合:\*\* 动态 JSON 参数提取流水线
\* \*\*运营级企业告警:\*\* Slack Incoming Webhooks 频道集成
\---
\## 🚀 分步实施指南
\### 📋 前置条件
确保您的本地主机已部署最新的 Python 3 解释器。通过终端安装所需的网络传输模块:
```
pip install requests
```
\### 🔹 第一步:获取威胁情报凭证
1\. 在 \[VirusTotal](https://virustotal.com) 注册一个免费账号。导航至:\*\*用户资料 -> My API Key\*\* 以获取您的唯一字符串。
2\. 在您的企业工作区 \[Slack](https://slack.com) 中设置一个免费的专用通信频道。
3\. 通过 \[Slack API 门户](https://slack.com) 创建一个企业级自动化机器人,激活 \*\*Incoming Webhooks\*\*,并将其直接绑定到您新配置的 `#incident-response` 监控频道,以生成目标 Webhook URL。
\### 🔹 第二步:建立脚本环境
在您的文件系统中配置一个名为 `attack\_sim.py` 的本地生产文件并执行参数。使用您已获取的安全配置更新全局目标数组:
\* `SLACK\_URL = "YOUR\_SLACK\_INCOMING\_WEBHOOK\_URL"`
\* `VT\_API\_KEY = "YOUR\_VIRUSTOTAL\_API\_KEY"`
\### 🔹 第三步:运行编排沙盒
打开您的命令提示符 (CMD) 或终端界面,导航至您的暂存目录,并执行核心控制器:
```
python attack\_sim.py
```
\---
\## 🎯 架构业务与运营影响
\* \*\*解决告警疲劳:\*\* 完全自动化原始安全指标审查,在引入真实人工人员之前,自主过滤威胁可信度级别。
\* \*\*大幅降低 MTTR:\*\* 将运营平均响应时间 (MTTR) 从 25 分钟的企业标准基准线降低至前所未有的 \*\*2 秒以内\*\* 的自动化验证扫描。
\* \*\*基础设施效率:\*\* 通过利用轻量级边缘脚本执行协议,消除了初始评估状态下繁重的企业 SIEM 存储需求。
\---
标签:CISA项目, FTP漏洞扫描, Homebrew安装, Python, 威胁情报, 安全编排, 开发者工具, 无后门, 紫队, 自动化响应