工欲善其事,必先利其器
基於"盡可能不要花太多時間開發"及"盡量不花錢",先選擇Shell Script搭配雲端 Functions做POC
| 方案 | 優點 | 缺點 | 適用情境 | 開發/維護成本 | 彈性/擴充性 | 學習門檻 |
|---|---|---|---|---|---|---|
| Shell Script | 輕量、快速上手、環境需求低 | 功能侷限,難整合多工具,維護性差 | 單機自動化(批次下載IOC、掃描紀錄) | 低(但易技術債) | 低 | 低 |
| SOAR | 專業資安自動化平台,整合SIEM、情資來源、回應流程完整 | 成本高、導入時間長、需專人維護 | 中大型企業、需要自動化事件回應流程 | 高 | 高 | 中高 |
| N8N | 低程式門檻,拖拉式流程,模組豐富 | 需要自行維運(排程、備份)、效能有限 | 中小團隊、快速做 PoC、蒐集與通知自動化 | 中 | 中高 | 中低 |
| MCP (Model Context Protocol) | AI 可直接存取 API / 工具,結合 LLM,能自動生成報告或執行查詢 | 生態系新、需客製 plugin,依賴 LLM | 想做「智慧型資安助手」的人 | 中高 | 高 | 中 |
| RPA (Robotic Process Automation) | 可模擬人操作(例如自動登入網站、下載情資) | 偏 GUI,效能不佳,安全性要注意 | 沒有 API 的資安資料來源、臨時整合需求 | 中 | 中 | 中低 |
| 雲端 Functions (AWS Lambda, GCP Cloud Functions, Azure Functions) | 無伺服器管理,自動擴充,適合定期任務 | Debug 相對麻煩,依賴雲服務廠商 | 自動抓取 KEV / IOC / CVE,每日掃描 & 通知 | 中低 | 中 | 中 |
| Scrapy / BeautifulSoup (Python 爬蟲框架) | 功能完整、能客製各種爬蟲 | 需要寫程式、維護 Parser | 蒐集漏洞新聞、情資網站 | 中 | 高 | 中 |
| Playwright / Puppeteer (自動化瀏覽器) | 可模擬使用者操作,處理 JS 網站 | 效能吃資源,需要維護瀏覽器版本 | 爬取需要登入/互動的網站 | 中 | 高 | 中 |
| Apify / Octoparse (雲端爬蟲 SaaS) | 無程式,圖形化爬蟲,雲端維護 | 免費版有限制,資料量大要付費 | 快速蒐集安全新聞、外洩資訊 | 低 | 中 | 低 |
| Airflow / Prefect (工作流編排) | 適合排程與大規模資料管線 | 架設與維護偏重 | 多來源情資蒐集、自動化數據處理 | 高 | 高 | 中高 |
| Google Apps Script (GAS) | 免費、與 Google 生態系整合 | 受限於 Google 服務,效能有限 | 自動寄信、爬取公開表格/文件 | 低 | 中 | 低 |
找一個商用軟體參考其作法
With XSOAR, you can orchestrate and centralize incident response across your teams, tools and networks.
以Qwiklabs這個Lab(Managing Threat Intelligence with Cortex XSOAR)來介紹,可以使用該公司寫好的Playbooks,自動把偵測到攻擊的加入特定名單
https://www.cloudskillsboost.google/focuses/30315?parent=catalog
可以從網頁上參考其作法
https://xsoar.pan.dev/docs/reference/playbooks/ip-enrichment---generic-v2
iThome鐵人賽
看影片追技術