该工作流自动化IP信誉分析,使用Splunk警报作为输入源,通过VirusTotal和AlienVault OTX进行双重威胁情报丰富,并生成可操作的威胁摘要供SOC团队使用——完全无需编码。
## 工作流功能
当Splunk警报包含可疑IP时:
1. **警报接收与IOC提取**
– 通过webhook从Splunk警报中提取IP地址
– 提取源IP和事件原因描述
2. **威胁情报丰富**
– 使用VirusTotal API进行IP信誉检查和标签分析
– 使用AlienVault OTX API获取社区威胁情报和脉冲信息
– 合并并处理威胁情报数据
3. **摘要生成与可视化**
– 生成丰富的HTML摘要供分析师审查
– 显示IP信誉状态、标签、WHOIS信息和分析统计
4. **基于严重程度的警报路由**
– 对于可疑IP发送Slack警报
– 在ServiceNow中创建事件工单
– 向SOC收件箱发送格式化的HTML报告
## 技术栈
– **Splunk** – SIEM警报源
– **VirusTotal API** – 信誉检查和统计分析
– **AlienVault OTX API** – 社区威胁情报和脉冲信息
– **n8n** – 用于编排、合并和摘要生成
– **Slack、Gmail、ServiceNow** – 用于SOC通知和工单管理
## 理想用例
非常适合希望实现以下功能的安全团队:
– 自动验证来自SIEM日志的IP信誉
– 从多个威胁源获取快速上下文
– 生成邮件就绪的报告并升级高风险IP
## 包含节点
Webhook (Splunk)、Function节点(用于IOC提取和情报处理)、HTTP Request (VirusTotal & AlienVault)、Merge + Switch节点(用于条件逻辑)、Gmail、Slack、ServiceNow集成
## 使用提示
– 在n8n的凭据管理器中添加VirusTotal和AlienVault凭据
– 使用Switch节点根据内部威胁评分逻辑进行路由
– 轻松扩展以包含AbuseIPDB或GreyNoise进行更深入的丰富
评论(0)