可疑登录检测

此工作流适合以下人群：
- 安全团队：需要实时监控和响应可疑登录活动。
- 开发者和系统管理员：希望通过自动化工具优化安全措施，减少手动干预。
- 企业管理者：关注企业数据安全和用户隐私，需确保用户账户的安全性。
- IT支持人员：需要快速识别和处理用户的安全问题，维护系统的稳定性。

此工作流解决了以下问题：
- 可疑登录活动检测：自动识别和响应来自新设备或位置的登录尝试，降低账号被盗风险。
- 数据整合与分析：通过整合用户的登录历史、地理位置和设备信息，提供全面的安全分析。
- 及时通知用户：在发现可疑活动时，及时通知用户，确保他们能够采取必要的安全措施，例如更改密码。

工作流过程的详细说明：
1. 提取相关数据：从登录事件中提取重要信息，如用户 ID、IP 地址、用户代理和时间戳。
2. 检测可疑活动：通过调用 GreyNoise、IP API 和 UserParser API，分析 IP 地址的信誉、地理位置和用户代理信息。
3. 判断新位置/设备：比较当前登录的地理位置与用户的历史登录位置，以及设备和浏览器信息，判断是否为新设备或浏览器。
4. 分类和优先级评估：根据检测到的可疑活动，评估事件的优先级（高、中、低），并相应地触发通知。
5. 发送通知：通过 Gmail 向用户发送有关可疑登录尝试的通知，提供详细信息以便用户采取行动。
6. 记录和报告：将可疑活动信息发送到 Slack，确保安全团队及时获知并采取必要措施。

用户可以按照以下步骤自定义和适应此工作流：
- 修改数据提取节点：根据需要调整 Extract relevant data 节点，以提取额外的用户信息或修改数据源。
- 调整API调用：更新 GreyNoise、IP API 和 UserParser 的API密钥和请求参数，以适应不同的使用场景或数据需求。
- 自定义通知内容：在 HTML 节点中编辑邮件内容，确保通知信息符合企业的品牌和安全政策。
- 扩展逻辑条件：根据企业需求，添加或修改 if 或 switch 节点的条件，以便更准确地识别可疑活动。
- 集成其他工具：将此工作流与其他安全工具或监控系统集成，以增强整体安全防护能力。