SOAR IP Analyzer avec n8n et opencanary

SOAR IP Analyzer est un outil de cybersécurité permettant d’analyser automatiquement des adresses IP en s’appuyant sur plusieurs sources de threat intelligence.

Le système s’appuie sur un honeypot OpenCanary, utilisé pour simuler des services exposés (SSH, HTTP, FTP) et détecter des tentatives d’intrusion. Les événements générés sont produits sous forme de logs JSON exploitables.

Ces logs sont ensuite envoyés vers un orchestrateur n8n à travers un webhook. Le workflow déclenche automatiquement plusieurs appels vers des APIs de threat intelligence spécialisées. AbuseIPDB permet d’évaluer la réputation de l’adresse IP à partir de signalements d’abus, VirusTotal fournit une analyse multi-sources, AlienVault OTX apporte des informations issues de la communauté, et IPinfo permet de récupérer la géolocalisation ainsi que les informations réseau.

Les données sont ensuite normalisées afin d’obtenir une structure cohérente, puis un score global de menace est calculé pour produire une décision claire : SAFE, SUSPICIOUS ou MALICIOUS.

Dans une seconde phase, l’infrastructure a été déployée sur un VPS public avec Docker, Nginx et HTTPS, permettant de simuler un environnement de production. L’interface utilisateur a été séparée de l’interface d’administration n8n afin de proposer une expérience plus accessible.

Les résultats des analyses sont enregistrés dans une base de données Firestore afin de conserver un historique des événements. L’interface web permet de consulter ces analyses de manière simplifiée en affichant uniquement les informations essentielles : IP, pays, organisation, score et niveau de menace.

Ce projet met en œuvre une logique inspirée des systèmes SOAR (Security Orchestration, Automation and Response), permettant d’automatiser l’analyse des incidents et de démontrer une chaîne complète allant de la détection à la décision. Le système peut être adapté à un contexte professionnel afin d’améliorer les processus de détection et de réponse en cybersécurité.