用于每周定期查询和报告意外开放端口,通过自动化工作流程整合IP地址和端口监控,及时识别安全隐患。该流程每周一自动运行,确保网络安全,生成Markdown格式的报告并发送至TheHive平台,便于团队快速响应潜在安全事件。
该工作流适合以下人群:
- 网络安全专家:需要定期监控和分析网络中的开放端口。
- 系统管理员:负责维护和保护组织的网络安全。
- IT审计员:需要生成关于网络安全状态的报告。
- 开发者:希望将安全监控集成到他们的应用程序或服务中。
该工作流解决了以下问题:
- 识别意外开放端口:通过与 Shodan API 集成,自动识别和报告意外的开放端口。
- 自动化监控流程:定期(每周一)获取和处理 IP 地址及其端口,减少人工干预。
- 生成可读报告:将数据转换为 Markdown 格式的表格,便于分享和分析。
工作流过程的详细说明:
1. 每周一触发:工作流在每周一的 05:00 自动启动。
2. 获取监控的 IP 和端口:从指定的 API 获取需要监控的 IP 地址和其相关端口。
3. 逐个处理 IP:使用 Split In Batches 节点逐个处理获取的 IP 地址。
4. 扫描每个 IP:通过 Shodan API 查询每个 IP 的开放端口和服务。
5. 分离服务:提取返回数据中的服务信息。
6. 过滤意外端口:检查每个端口是否在监控列表中,识别意外开放的端口。
7. 设置要发布的数据:为每个识别到的意外端口准备要发布的数据。
8. 转换为表格:将数据转换为 HTML 表格格式。
9. 转换为 Markdown:将表格转换为 Markdown 格式,以便于报告和共享。
10. 创建 TheHive 警报:如果发现意外开放端口,向 TheHive 创建一个警报,以便进行后续处理。
用户可以通过以下方式自定义和调整该工作流:
- 更改触发时间:在 Every Monday 节点中调整触发规则,以适应不同的监控时间。
- 替换 API 地址:在 Get watched IPs & Ports 节点中更改 API 地址,以获取来自不同源的 IP 和端口数据。
- 调整过滤条件:在 Unexpected port? 节点中修改条件,以适应特定的安全策略。
- 修改报告格式:在 Convert to Markdown 节点中自定义生成的 Markdown 内容,以符合组织的报告标准。