## 工作流概述
这个工作流帮助安全运营中心(SOC)团队自动化检测和报告潜在恶意文件,使用Wazuh警报、VirusTotal哈希验证和集成的摘要/报告生成功能。它非常适合希望为基于文件的威胁获得即时上下文和通信的分析师——无需编写任何代码。
## 工作流程
当Wazuh检测到可疑文件时:
### 1. 接收Wazuh警报
– Webhook节点捕获包含文件哈希(SHA256/MD5)的传入警报
### 2. 解析IOC指标
– 提取相关指标(文件哈希、文件名等)
### 3. 使用VirusTotal验证
– 使用VirusTotal的威胁情报API自动检查文件哈希信誉
### 4. 生成人类可读摘要
– 输出结构化的文件报告
### 5. 基于威胁级别路由警报
– 使用Gmail发送格式化的文件摘要邮件
– 如果文件被判定为恶意/可疑:
– 创建文件相关的事件工单
– 发送即时Slack警报通知团队
## 技术栈
– **Wazuh** – 用于端点警报
– **VirusTotal API** – 用于实时哈希验证
– **n8n** – 用于编排、解析、丰富和通信
– **Slack、Gmail、事件工具** – 用于通知和采取行动
## 理想使用场景
这个模板专为安全团队设计,旨在自动化文件威胁分类、IOC验证和警报到工单的升级,实现零人工延迟。
## 包含的节点
– Webhook (Wazuh)
– Function (IOC提取和摘要)
– HTTP Request (VirusTotal)
– If / Switch (威胁级别检查)
– Gmail、Slack、事件创建
## 使用提示
– 确保在HTTP节点中添加您的VirusTotal API密钥
– 自定义事件创建节点以适应您的工单平台(Jira、ServiceNow等)
– 如果需要,添加逻辑以使用WHOIS或沙箱报告进一步丰富文件警报
评论(0)