Wazuh警报智能调查与自动化响应工作流

🚨**警报风暴是否压垮了您的安全运营工作流？**

这个n8n工作流通过完全自动化Wazuh警报的分诊、分析和通知，为您的SOC团队提供强大支持——结合事件驱动自动化、OpenAI驱动的上下文分析和实时协作进行事件响应。

### 🔑 核心功能

✅ **自动化分诊**
– 即时按严重程度过滤Wazuh警报，让分析师专注于重要信号

🤖 **AI驱动调查报告**
– 使用OpenAI的GPT-4o-mini自动生成上下文丰富的安全事件报告，包括：
– MITRE战术与技术映射
– 影响范围（IP地址、主机名）
– 外部工件信誉检查
– 可操作的安全建议
– 完全可定制的提示格式，与您的SOC剧本对齐

📡 **多渠道通知**
– 通过Telegram向SOC团队交付清晰、可操作的报告
– 可轻松扩展到Slack、Outlook、Gmail、Discord或其他首选渠道

🔇 **噪音减少**
– 使用智能过滤器和自定义AI提示消除警报疲劳
– 抑制误报并突出真实威胁

🔧 **完全可定制**
– 调整严重程度阈值、更新提示逻辑或集成其他数据源和渠道
– 只需最少的努力即可完成配置

### ⚙️ 工作原理

**Webhook节点**
– 实时监听传入的Wazuh警报

**If条件节点**
– 根据严重程度（1低、2中等）或其他自定义逻辑进行过滤

**AI调查节点（LangChain + OpenAI）**
– 使用自定义提示总结完整警报日志和上下文，生成：
– 事件概述
– 关键指标
– 日志分析
– 威胁分类
– 风险评估
– 安全建议

**通知交付节点**
– 解析、清理报告并实时发送给SOC团队
– 即使在高警报量期间也能实现快速响应

**No-Op路径**
– 高效丢弃不相关警报而不中断流程

### 🧠 为什么选择n8n + AI？

传统的警报分诊是手动、缓慢且容易出错的——导致分析师倦怠和错过关键威胁。

此工作流展示了将工作流自动化与定制AI模型相结合，如何使您的SOC从被动转向主动。分析师现在可以：

– 专注于关键调查
– 更快响应警报
– 消除复制粘贴疲劳
– 获得即时上下文摘要

⚠️ **注意**：我们发现通用AI是不够的。上下文丰富的提示和与您实际SOC流程的对齐对于有意义、可扩展的自动化至关重要。

### 🚀 准备好构建更智能、压力更小的SOC吗？

克隆此工作流，根据您的流程进行调整，再也不会错过关键警报。

📬 **欢迎贡献！**
随时提出PR、建议新增强功能或分叉用于您自己的用例。

**创建者**：Mariskarthick M
高级安全分析师 | 检测工程师 | 威胁猎人 | 开源爱好者