在前面幾天架設好了監控與威脅整合系統後，今天重點是建立事件通報及回應機制，並透過簡易的自動防禦腳本來提升應對效率，藉此減少當資安事件發生時的人為延遲。
（之前有做過自動化，但感覺內容很不完整！應該會把那篇修改成其他資安資訊！）

一、建立標準事件回應流程（SOP）

1. 定義事件分類

   • 高嚴重度：確認為惡意攻擊指標 (惡意IP連線、執行惡意程式等)
   • 中嚴重度：疑似異常行為 (不常見的登入時間、異常系統變更)
   • 低嚴重度：一般警示與系統例行事件

2. 事件通報程序

   • 監控平台產生警報後，立即通知負責人（Email或即時通訊工具）
   • 初步分析事件相關日誌，評估事件影響範圍
   • 根據事件等級決定是否需要替換或隔離系統

3. 回應步驟

   • 收集證據：截取Kibana事件報告與原始日誌
   • 隔離受影響設備或封鎖惡意IP
   • 通知相關部門並啟動後續調查流程

二、撰寫簡易自動封鎖惡意IP的Shell腳本

這個腳本可擷取Wazuh或Suricata警報中帶有惡意IP的記錄，自動添加防火牆規則進行封鎖。

#!/bin/bash

惡意IP清單檔案路徑

BLOCKLIST="/var/log/malicious_ips.txt"

讀取清單並封鎖IP

while IFS= read -r ip
do
echo "封鎖IP：$ip"
sudo iptables -I INPUT -s $ip -j DROP
done < "$BLOCKLIST"

• 可以每日排程從警報系統匯出惡意IP至malicious_ips.txt後，執行此腳本達成自動防禦。

三、模擬異常事件驗證回應機制

1. 在測試主機使用以下命令模擬SSH登入失敗嘗試

ssh invaliduser@localhost
多次執行引發異常登入警報。

2. 利用curl模擬多次連線到惡意IP清單（前提是在Wazuh或Suricata中有設定Detection此類IP）

3. 檢查Kibana監控儀表板是否即時顯示警報，並驗證自動封鎖腳本是否成功將惡意IP加入iptables。

透過建立清晰的事件回應SOP與輔助自動化腳本，單人藍隊能快速面對突發事件，提升偵測告警的實際防護價值！