Retour aux guides CTI

Guide Shuffle SOAR

Automatisez vos workflows de sécurité avec la plateforme open source Shuffle

Introduction

Shuffle est une plateforme open source d'automatisation de la sécurité (SOAR), permettant de créer et d'exécuter des workflows pour automatiser les tâches de sécurité et d'investigation. Elle offre une interface visuelle intuitive et s'intègre avec plus de 300 outils de cybersécurité.

Fonctionnalités principales

Automatisation SOAR

Orchestrez des workflows de sécurité complexes sans code

  • Analyse automatique de malware
  • Enrichissement d'IOCs
  • Réponse aux incidents

Intégrations natives

Connectez +300 outils de cybersécurité

  • VirusTotal, MISP, TheHive
  • Cortex, Slack, Email
  • APIs REST personnalisées

Open Source

Solution 100% open source et gratuite

  • Auto-hébergé
  • Code accessible sur GitHub
  • Communauté active

Workflow visuel

Créez des workflows par glisser-déposer

  • Interface intuitive
  • Drag & drop
  • Visualisation en temps réel

Installation

Prérequis

  • Docker et Docker Compose
  • 4 Go de RAM minimum
  • 20 Go d'espace disque minimum
  • Ports 3000, 5000 disponibles

Installation via Docker

# Cloner le dépôt
git clone https://github.com/Shuffle/Shuffle
cd Shuffle

# Lancer avec Docker Compose
docker-compose up -d

# Accéder à l'interface
# http://localhost:3000

Cas d'usage

1Enrichissement automatique d'IOCs

1

Réception d'une alerte avec une IP ou hash suspect

2

Enrichissement via VirusTotal, AbuseIPDB, MISP

3

Agrégation des résultats

4

Création automatique d'un ticket dans TheHive

5

Notification sur Slack avec le rapport complet

2Analyse de fichiers suspects

1

Réception d'un fichier suspect via email ou upload

2

Calcul du hash et recherche dans VirusTotal

3

Analyse dans sandbox (Cuckoo, Any.run)

4

Extraction des IOCs (IPs, domaines, URLs)

5

Rapport détaillé avec score de menace

3Gestion d'incidents automatisée

1

Détection d'une alerte de sécurité

2

Création d'un incident dans TheHive

3

Enrichissement automatique avec CTI

4

Actions de containment si menace confirmée

5

Documentation et notification de l'équipe

Exemple de workflow

{
  "name": "IOC Enrichment Workflow",
  "start": "webhook",
  "actions": [
    {
      "name": "Receive IOC",
      "app": "webhook",
      "function": "webhook_trigger"
    },
    {
      "name": "Check VirusTotal",
      "app": "virustotal",
      "function": "get_report"
    },
    {
      "name": "Query MISP",
      "app": "misp",
      "function": "search_attributes"
    },
    {
      "name": "Create TheHive Alert",
      "app": "thehive",
      "function": "create_alert"
    },
    {
      "name": "Notify Slack",
      "app": "slack",
      "function": "send_message"
    }
  ]
}

Bonnes pratiques

À Faire

  • Tester les workflows en environnement de développement
  • Versionner vos workflows
  • Documenter chaque action
  • Implémenter une gestion d'erreurs robuste
  • Monitorer les performances
  • Sécuriser les credentials avec un gestionnaire de secrets

À Éviter

  • Workflows trop complexes sans modularité
  • Credentials en dur dans les workflows
  • Absence de timeouts sur les actions
  • Pas de logs pour le debugging
  • Déploiement direct en production
  • Ignorer les limites de rate limiting des APIs

Ressources

Documentation officielle Shuffle

Guide complet et tutoriels sur shuffler.io

Dépôt GitHub

Code source et contributions sur GitHub

Prêt à automatiser vos workflows ?

Découvrez nos cas pratiques pour mettre en application vos connaissances

Voir les cas pratiques