Tracecat:开源 SOAR
Tracecat 是一个面向安全团队的开源自动化平台。
开发人员认为安全自动化应该让每个人都能使用,尤其是人手不足的中小型团队。
核心功能、用户界面和日常工作流程均基于一流安全团队现有的最佳实践。
使用专门的 AI 模型来标记、总结和丰富警报。使用内部证据和外部威胁情报将警报情境化:
1. 使用语义搜索查找案例
2. MITRE ATT&CK 标签
3. 白名单/黑名单身份
4.对相关案例进行分类
5. MITRE D3FEND 建议
6. 上传证据和威胁情报
Tracecat 并不是 Tines / Splunk SOAR 的 1 对 1 映射。
开发人员的目标是为技术团队提供类似 Tines 的体验,但重点是开源和 AI 功能。
虽然 Tracecat 是为安全而设计的,但其工作流自动化和案例管理系统也适用于各种警报环境,例如站点可靠性工程、DevOps和物理系统监控。
将安全警报转化为可解决的案例:
点击并拖动工作流构建器– 使用预构建的操作(API 调用、webhook、数据转换、AI 任务等)组合到工作流中,实现 SecOps 自动化。无需代码。
内置案例管理系统– 直接从工作流程打开案例。在一体化平台上跟踪和管理安全事件。
Tracecat 与云无关,可部署在任何支持 Docker 的地方。
https://github.com/TracecatHQ/tracecat
它可在GitHub上免费获取。@网络研究观
更多内容关注公众号网络研究观。