Weekly Shodan Query Report Accidents no function node
该工作流通过自动化方式每周监控企业内部系统中的IP地址及其端口,利用Shodan API扫描开放端口和服务,及时识别未预期的异常端口,并将信息整理成Markdown格式的报告,最终推送至TheHive平台,实现快速响应。其核心优势在于提升监控效率,减少人为遗漏,确保网络安全,帮助安全团队实时掌握潜在风险,构建高效的安全防护体系。
流程图
工作流名称
Weekly_Shodan_Query___Report_Accidents__no_function_node_
主要功能和亮点
该工作流自动从内部系统获取需要监控的IP地址及其端口列表,利用Shodan API对每个IP进行扫描,识别其开放的端口与运行的服务,自动筛选出未预期的端口,并将异常端口信息整理成Markdown格式的表格,最终生成安全告警并推送到TheHive安全事件响应平台,实现端口异常的自动监测与快速响应。
解决的核心问题
传统手动监控IP端口和服务存在效率低、易遗漏、响应慢等问题。此工作流通过自动化扫描和比对,帮助安全团队及时发现网络中出现的异常开放端口,防止潜在安全风险和入侵事件,提升安全事件的发现速度和响应能力。
应用场景
- 企业安全运营中心(SECOPS)对关键资产的端口监控和异常检测
- 网络安全审计,定期核查网络暴露面
- 自动化安全事件触发与告警系统
- 安全事件管理平台(如TheHive)集成的安全自动化流程
主要流程步骤
- 定时触发:每周一定时启动工作流。
- 获取监控IP及端口:调用内部系统Webhook接口获取需监控的IP列表及其端口。
- 分批处理IP:逐个处理每个IP地址,避免API调用过载。
- 调用Shodan API扫描:查询每个IP的开放端口及运行服务信息。
- 拆分服务列表:将扫描结果中每个端口的服务拆分成独立项。
- 异常端口过滤:判断端口是否为预期端口,筛选出异常开放端口。
- 整理数据:将异常端口信息(IP、端口、主机名、描述等)设置为发布数据。
- 格式转换:将数据转换成HTML表格,再转为Markdown格式,方便阅读和报告。
- 安全告警创建:将异常端口信息以告警形式推送到TheHive平台,供安全人员跟进处理。
涉及的系统或服务
- Shodan:互联网设备搜索引擎,用于查询IP开放端口和服务信息。
- 内部Webhook接口:提供需监控的IP及端口列表。
- TheHive:开源安全事件响应及案例管理平台,用于接收并管理安全告警。
- n8n自动化平台:支持工作流调度、HTTP请求、数据处理、格式转换和集成推送。
适用人群或使用价值
- 安全运营团队:通过自动化监测,减少人工巡检负担,提升风险发现效率。
- 网络管理员:实时掌握网络端口状态,及时发现异常配置。
- 安全分析师和响应团队:获得结构化的异常端口告警,快速响应威胁。
- 企业与组织:确保关键资产安全,降低潜在攻击面,提升整体网络安全态势感知能力。
该工作流以自动化和集成方式实现了网络端口异常的持续监控与告警,帮助团队构建高效、可扩展的安全防护体系。