Automated Incident Response Integration

المشروع ده عبارة عن بناء منظومة استجابة للحوادث بشكل مؤتمت داخل بيئة SOC، باستخدام أدوات متكاملة بدل ما يكون التحليل والاستجابة كله يدوي وبطيء ومليان أخطاء بشرية.

النظام مبني على ربط أربع مكونات أساسية:

Wazuh: مسؤول عن جمع وتحليل التهديدات وإطلاق التنبيهات.

Shuffle: محرك الأتمتة اللي بيحوّل الـ alerts إلى workflows تنفيذية.

TheHive: نظام إدارة الحوادث وتحقيقات الـ SOC.

VirusTotal: مصدر استخبارات تهديدات (Threat Intelligence) لتحليل الـ indicators.

طريقة العمل كانت ماشية كسلسلة مترابطة:

أول ما Wazuh يلتقط حدث مشبوه (alert)، يتم تمريره تلقائيًا إلى Shuffle، اللي بدوره يشغّل playbook محدد مسبقًا حسب نوع التهديد. داخل الـ playbook يتم:

استخراج الـ Indicators of Compromise (IOCs)

إرسالها إلى VirusTotal لتحليلها وربطها بسمعة الملفات أو الـ IPs أو الـ domains

ثم إنشاء case تلقائي داخل TheHive يحتوي على كل التفاصيل الجاهزة للتحقيق

ده بيحوّل عملية كانت ممكن تاخد وقت طويل من الـ SOC analyst (جمع بيانات، بحث، توثيق، فتح تذكرة) إلى مسار شبه تلقائي جاهز للتحليل.

بعد بناء النظام، تم اختبار المنظومة عبر محاكاة سيناريوهات هجوم مختلفة