implementing-soar-playbook-for-phishing

使用 Splunk SOAR REST API 自动化网络钓鱼事件响应,包括创建容器、添加制品并触发剧本

9 stars

Best use case

implementing-soar-playbook-for-phishing is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

使用 Splunk SOAR REST API 自动化网络钓鱼事件响应,包括创建容器、添加制品并触发剧本

Teams using implementing-soar-playbook-for-phishing should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/implementing-soar-playbook-for-phishing/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/implementing-soar-playbook-for-phishing/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/implementing-soar-playbook-for-phishing/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How implementing-soar-playbook-for-phishing Compares

Feature / Agentimplementing-soar-playbook-for-phishingStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

使用 Splunk SOAR REST API 自动化网络钓鱼事件响应,包括创建容器、添加制品并触发剧本

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

## 概述

本技能使用 Splunk SOAR(原 Phantom)REST API 实现网络钓鱼(phishing)事件响应工作流。当举报一封疑似钓鱼邮件时,Agent 会解析邮件头和正文,创建代表事件的 SOAR 容器(container),附加包含失陷指标(Indicator of Compromise,IOC)的制品(artifact,含发件人地址、URL、IP 地址和文件哈希),触发自动化调查剧本(playbook),并轮询动作执行结果。

Splunk SOAR 通过将调查和响应动作链接成剧本来编排并自动化安全运营。`/rest/container`、`/rest/artifact` 和 `/rest/playbook_run` REST API 支持从外部工具、邮件网关和 SIEM 告警中以编程方式创建事件并触发自动化。

## 前置条件

- Python 3.9 及以上版本,包含 `requests` 和 `email` 模块
- 已启用 REST API 访问的 Splunk SOAR 实例(云端或本地部署)
- 具备创建容器和触发剧本权限的 SOAR API 令牌
- 可访问 SOAR 实例 443 端口的网络连接
- 已在 SOAR 中配置好网络钓鱼调查剧本

## 步骤

1. **解析钓鱼邮件**:读取邮件文件(.eml 格式),提取邮件头,包括 From、To、Subject、Reply-To、Return-Path、Received、Message-ID、X-Mailer 以及认证结果(SPF、DKIM、DMARC)。从邮件正文中提取 URL 和 IP 地址。

2. **向 SOAR REST API 认证**:在所有 REST API 请求中通过 `ph-auth-token` 请求头使用 API 令牌进行身份验证。

3. **创建容器**:向 `/rest/container` 发送 POST 请求,携带事件标签、名称、描述、严重级别和状态。容器代表钓鱼事件,响应中会返回容器 ID。

4. **添加邮件头制品**:向 `/rest/artifact` 发送 POST 请求,携带 `container_id` 和 CEF(Common Event Format,通用事件格式)字段,包含发件人地址(`fromAddress`)、收件人(`toAddress`)、主题、来源 IP(`sourceAddress`)和 Message-ID。除最后一个制品外,其余均将 `run_automation` 设为 False。

5. **添加 URL 制品**:对从邮件正文中提取的每个 URL,创建包含 CEF 字段 `requestURL` 且类型为 `url` 的制品。这些制品将作为剧本中 URL 信誉检查的输入。

6. **触发剧本**:向 `/rest/playbook_run` 发送 POST 请求,携带剧本 ID 或名称及容器 ID,启动自动化调查工作流。

7. **轮询动作结果**:通过容器 ID 过滤 GET `/rest/action_run`,监控剧本执行进度,直到所有动作达到终态(成功、失败或已取消)。

8. **汇总响应报告**:将剧本动作结果汇总为摘要报告,包含来自 URL 信誉、域名信誉、IP 地理位置和邮件头分析的裁定结论。

## 预期输出

```json
{
  "incident": {
    "container_id": 1542,
    "status": "new",
    "severity": "high",
    "artifacts_created": 5
  },
  "playbook": {
    "name": "phishing_investigate",
    "run_id": 892,
    "status": "success",
    "actions_completed": 8
  },
  "verdict": "malicious",
  "indicators": {
    "sender_domain_reputation": "malicious",
    "urls_flagged": 2,
    "spf_result": "fail",
    "dkim_result": "fail"
  }
}
```

Related Skills

triaging-security-incident-with-ir-playbook

9
from killvxk/cybersecurity-skills-zh

使用结构化 IR Playbook 对安全事件进行分类和优先排序,确定严重性、分配响应团队并启动适当的响应程序。

performing-red-team-phishing-with-gophish

9
from killvxk/cybersecurity-skills-zh

使用 Python gophish 库自动化 GoPhish 钓鱼模拟活动。创建含追踪像素的邮件模板、 配置 SMTP 发送配置文件、从 CSV 构建目标组、发起活动,并分析结果, 包括打开率、点击率和凭据提交统计数据,用于安全意识评估。

performing-phishing-simulation-with-gophish

9
from killvxk/cybersecurity-skills-zh

GoPhish 是一个开源钓鱼模拟框架,供安全团队开展授权的钓鱼意识培训活动,提供活动管理、邮件模板创建、着陆页克隆和综合报告功能。

performing-adversary-in-the-middle-phishing-detection

9
from killvxk/cybersecurity-skills-zh

检测和响应中间人(AiTM)钓鱼攻击,这类攻击使用 EvilProxy、Evilginx 和 Tycoon 2FA 等反向代理工具包绕过 MFA 并窃取会话令牌。

investigating-phishing-email-incident

9
from killvxk/cybersecurity-skills-zh

调查钓鱼(Phishing)邮件事件,从初始用户举报开始,经过邮件头分析、URL/附件引爆、 受影响用户识别和遏制行动,使用 Splunk、Microsoft Defender 和沙箱分析平台等 SOC 工具。 适用于收到的钓鱼邮件举报需要进行完整事件调查以确定范围和影响时。

implementing-zero-trust-with-hashicorp-boundary

9
from killvxk/cybersecurity-skills-zh

使用 HashiCorp Boundary 实现具备动态凭据代理、会话录制和 Vault 集成的身份感知零信任基础设施访问管理。

implementing-zero-trust-with-beyondcorp

9
from killvxk/cybersecurity-skills-zh

使用身份感知代理(IAP,Identity-Aware Proxy)、上下文感知访问策略、设备信任验证和 Access Context Manager,部署 Google BeyondCorp Enterprise 零信任访问控制,对 GCP 资源和内部应用强制执行基于身份和安全态势的访问。

implementing-zero-trust-network-access

9
from killvxk/cybersecurity-skills-zh

通过配置身份感知代理、微分段、基于条件访问策略的持续验证,以及在 AWS、Azure 和 GCP 环境中以 BeyondCorp 风格的架构替代传统 VPN 访问,在云环境中实施零信任网络访问(ZTNA)。

implementing-zero-trust-network-access-with-zscaler

9
from killvxk/cybersecurity-skills-zh

使用 Zscaler 实施零信任网络访问(Zero Trust Network Access,ZTNA),通过 Zscaler Private Access(ZPA)配置应用分段、访问策略和连接器,替代传统 VPN 架构

implementing-zero-trust-in-cloud

9
from killvxk/cybersecurity-skills-zh

本技能指导组织按照 NIST SP 800-207 和 Google BeyondCorp 原则在云环境中实施零信任(Zero Trust)架构,涵盖以身份为中心的访问控制、微分段(Micro-Segmentation)、持续验证、设备信任评估,以及部署身份感知代理(Identity-Aware Proxy)以消除 AWS、Azure 和 GCP 环境中的隐式网络信任。

implementing-zero-trust-for-saas-applications

9
from killvxk/cybersecurity-skills-zh

使用 CASB、SSPM、条件访问策略、OAuth 应用治理和会话控制,为 SaaS 应用实施零信任访问控制, 对云托管服务强制执行身份验证、设备合规性检查和数据保护。

implementing-zero-trust-dns-with-nextdns

9
from killvxk/cybersecurity-skills-zh

将 NextDNS 实施为零信任 DNS 过滤层,提供加密解析、威胁情报阻断、隐私保护,以及跨所有端点的组织策略执行。