Security Ops

SOC Alert Triage

SIEM-Alert-Triage mit paralleler Threat-Intel-Anreicherung (VirusTotal, AbuseIPDB, Shodan, MITRE ATT&CK) in einem einzigen n8n-Workflow. Code-Mode Promise.allSettled statt sequentieller Agent-Aufrufe spart 86% Tokens und ist 3.3x schneller. Gewichtetes Severity-Scoring mit dynamischer Umverteilung und IP-Deduplizierung.

GitHub Repository → Architektur ansehen

86% Token-Ersparnis

7s End-to-End

9 Nodes

4 Intel-Quellen

SOC ALERT TRIAGE

SIEM Alert ──► Normalize ──► AI Agent

│

Promise.allSettled()

┌──────┬──────┬──────┐

│Shodan│ MITRE│ VT │AbuseIP

└──────┴──────┴──────┘

│

Score & Dedup

┌──────────┴──────────┐

>=80 Critical 60-79 High

40-59 Medium <40 Low

Architektur

Pipeline

Alert normalisieren

Wazuh-, Elastic-SIEM- oder generische Alerts werden in ein einheitliches Format gebracht.

Parallel anreichern

Promise.allSettled ruft Shodan, MITRE, VirusTotal und AbuseIPDB gleichzeitig ab (245ms).

Bewerten & Deduplizieren

Gewichtetes Severity-Scoring mit dynamischer Umverteilung bei fehlenden Quellen.

Routen

Critical/High loesen Telegram-Alerts aus, Medium wird geloggt, Low wird verworfen.

Tech Stack

Technologien

Workflow

n8nn8nacTypeScript

Threat Intel

VirusTotalAbuseIPDBShodanMITRE ATT&CK

KI & Routing

Claude HaikuOpenRouterTelegram

Engineering Decisions

Architektur-Entscheidungen

Entscheidung

Code-Mode statt Agent-Toolcalls

Traditionelle n8n-Agents machen 7+ sequentielle Toolcalls mit O(n^2) Token-Wachstum. Promise.allSettled in einem Code-Node haelt es bei O(1) — 86% weniger Tokens bei 3.3x Geschwindigkeit.

Entscheidung

Gewichtetes Scoring mit Umverteilung

Wenn VirusTotal oder AbuseIPDB nicht verfuegbar sind, verteilt sich deren Gewichtung auf die verbleibenden Quellen. Das System funktioniert immer, egal welche APIs erreichbar sind.

Entscheidung

MITRE ATT&CK Mapping eingebettet

12 keyword-basierte Technique-Mappings direkt im Workflow statt externer API. Sofortige Zuordnung ohne Netzwerk-Abhaengigkeit und zusaetzlich +15 Score-Boost bei Match.