## 工作流概述
这个工作流自动化分析来自Sophos Central的安全警报,将原始事件转化为可操作的情报。它使用官方的Sophos SIEM集成工具获取数据,通过VirusTotal进行丰富,并利用Google Gemini提供实时威胁摘要和通过Telegram发送的缓解计划。
## 前置条件(重要)
此工作流由接收外部Python脚本数据的webhook触发。您必须首先从官方Sophos GitHub设置Sophos-Central-SIEM-Integration脚本。该脚本将获取数据并将其转发到您的n8n webhook URL。
工具源代码:Sophos/Sophos-Central-SIEM-Integration
## n8n工作流步骤
### Webhook
接收来自外部Python脚本的丰富事件和警报数据。
### IF(过滤器)
立即过滤传入数据,确保仅处理高或严重严重性的事件,减少低优先级警报的噪音。
### Code(准备指示器)
智能检查Sophos事件数据以提取主要威胁指示器。它按以下顺序优先考虑指示器:文件哈希(SHA256)、URL/域名或源IP。
### HTTP Request(VirusTotal)
将提取的指示器发送到VirusTotal API以获取详细的信誉报告,包括有多少安全供应商将其标记为恶意。
### Code(Gemini提示)
将VirusTotal的原始JSON输出处理为干净、人类可读的摘要和标记供应商的详细列表。
### AI Agent(Google Gemini)
将所有收集的数据——原始Sophos日志、完整警报详情和格式化的VirusTotal信誉——编译成Gemini的详细提示。AI充当虚拟SOC分析师来:
– 创建简洁的事件摘要
– 确定风险级别
– 提供具体、可操作的缓解步骤列表
### Telegram
将Gemini的完整分析和缓解计划格式化为干净、易于阅读的消息,并发送到您指定的Telegram聊天。
## 设置说明
1. 配置外部Python脚本以将事件转发到此工作流的生产URL
2. 在n8n中为Google Gemini、VirusTotal和Telegram创建凭据
3. 将新创建的凭据分配给工作流中的相应节点
评论(0)