Wazuh、ClamAV、GPT-4 を使って端末の感染を自動修復
中級
これはSecOps, AI Summarization分野の自動化ワークフローで、9個のノードを含みます。主にIf, Ssh, Webhook, Telegram, Agentなどのノードを使用。 Wazuh、ClamAV、GPT-4 を使用して端末感染を自動修復
前提条件
- •HTTP Webhookエンドポイント(n8nが自動生成)
- •Telegram Bot Token
- •OpenAI API Key
ワークフロープレビュー
ノード接続関係を可視化、ズームとパンをサポート
ワークフローをエクスポート
以下のJSON設定をn8nにインポートして、このワークフローを使用できます
{
"meta": {
"instanceId": "04efa85563ff59ae71f7bc1e4ed9a086a69f4130298a28a588ae58f08407702b",
"templateCredsSetupCompleted": true
},
"nodes": [
{
"id": "fb1f79ac-2b5a-4bac-8f49-9d4938ea8c9b",
"name": "Wazuh アラート",
"type": "n8n-nodes-base.webhook",
"position": [
-640,
-112
],
"webhookId": "de0c6d77-ae71-4d78-9f10-502eaa851ce8",
"parameters": {
"path": "de0c6d77-ae71-4d78-9f10-502eaa851ce8",
"options": {
"rawBody": true
},
"httpMethod": "POST"
},
"typeVersion": 2
},
{
"id": "961ed6cb-a6b7-401f-a2b5-aaadf91ab4f1",
"name": "何もしない",
"type": "n8n-nodes-base.noOp",
"position": [
-112,
32
],
"parameters": {},
"typeVersion": 1
},
{
"id": "6ed0c622-e956-46da-87bb-82d96548f108",
"name": "OpenAI Chat Model",
"type": "@n8n/n8n-nodes-langchain.lmChatOpenAi",
"position": [
-96,
-144
],
"parameters": {
"model": {
"__rl": true,
"mode": "list",
"value": "gpt-4.1-mini"
},
"options": {}
},
"credentials": {
"openAiApi": {
"id": "Qf3yZKrzzR0LSOXm",
"name": "OpenAi account"
}
},
"typeVersion": 1.2
},
{
"id": "84cfeaa8-db3b-48be-a89d-fd2f9a3d66ec",
"name": "OpenAI Chat Model1",
"type": "@n8n/n8n-nodes-langchain.lmChatOpenAi",
"position": [
304,
-48
],
"parameters": {
"model": {
"__rl": true,
"mode": "list",
"value": "gpt-4.1-mini"
},
"options": {}
},
"credentials": {
"openAiApi": {
"id": "Qf3yZKrzzR0LSOXm",
"name": "OpenAi account"
}
},
"typeVersion": 1.2
},
{
"id": "b8e61b73-87fd-4511-9514-03135d34c348",
"name": "高重要度のチェック",
"type": "n8n-nodes-base.if",
"position": [
-416,
-112
],
"parameters": {
"options": {
"ignoreCase": true
},
"conditions": {
"options": {
"version": 2,
"leftValue": "",
"caseSensitive": false,
"typeValidation": "strict"
},
"combinator": "and",
"conditions": [
{
"id": "0c8dba85-ab11-4ef9-9049-d3ad934976ef",
"operator": {
"name": "filter.operator.equals",
"type": "string",
"operation": "equals"
},
"leftValue": "={{ $json.body.severity }}",
"rightValue": "3 high"
},
{
"id": "2a4587f8-ccae-435c-8c67-1606811538a2",
"operator": {
"name": "filter.operator.equals",
"type": "string",
"operation": "equals"
},
"leftValue": "={{ $json.body.rule_id }}",
"rightValue": "=52502"
}
]
}
},
"typeVersion": 2.2
},
{
"id": "cad813f2-fb68-4e31-a85c-5732f11f4f96",
"name": "アラートの要約",
"type": "@n8n/n8n-nodes-langchain.chainSummarization",
"position": [
-192,
-368
],
"parameters": {
"options": {
"summarizationMethodAndPrompts": {
"values": {
"prompt": "Write a detailed concise summary of the following as a Senior soc analyst:\n\n\n\"{text}\"\n\n\nCONCISE SUMMARY:",
"combineMapPrompt": "=You are the Wazuh AI Assistant created by Mariskarthick. \n\nYou should act as a Senior experienced SOC Analyst\n\nYour main purpose is to run the ClamAV if wazuh siem detected a ClamAV: Virus detected alert. you have full access to the all the machines via ssh and initate a CLAM AV scan using this command sudo clamscan -r \"mention the path where the virus is detected\" --bell -i\n\nfor example: sudo clamscan -r /test --bell -i\n\nonce the scanning is done, consolidate the output of the scan and initiate a msg to stateholder via shadowArk telegram trigger\n\nyou can refer the below details:\n Wazuh detected alert Name: {{ $json.body.title }}\nFull log: {{ $json.body.text }}\n"
}
}
}
},
"typeVersion": 2.1
},
{
"id": "3c6645a6-3d16-48ec-8f35-a850244c3536",
"name": "パスの抽出",
"type": "@n8n/n8n-nodes-langchain.agent",
"position": [
208,
-256
],
"parameters": {
"text": "={{ $json.output.text }}\n\nYou are the wazuh AI Assistant. your primary task is to understand the abive mentioend text and extract the path where the virus got detected on the below format:\n\nExamle: \n\ntext:\nA high-severity WAZUH alert was triggered on July 30, 2025, indicating ClamAV detected the EICAR test virus (EICAR.TEST.3.UNOFFICIAL) in the file `/test/eicar.com` on the host `shadowark`. The detection was logged by the ClamAV daemon (clamd) and confirmed repeatedly at 13:44:27, involving components such as freshclam and journald. The alert originated from IP `122.178.166.190` accessing `3aad845638746618f1a5187d93674f5f.n8n.selfmade.codes` via HTTPS.\n\noutput required:\n/test/eicar.com",
"options": {},
"promptType": "define"
},
"typeVersion": 2.1
},
{
"id": "f44a9bc0-46d4-45c3-aaaa-3bf2eb567578",
"name": "AV スキャンの実行",
"type": "n8n-nodes-base.ssh",
"position": [
608,
-256
],
"parameters": {
"command": "=clamscan -r {{ $json.output }} --bell -i"
},
"credentials": {
"sshPassword": {
"id": "ounO8RvAyII5YqON",
"name": "Wazuh_Manager"
}
},
"typeVersion": 1
},
{
"id": "8858c573-ad0b-4f14-8a19-993a93f6d8ca",
"name": "Telegram で関係者に通知",
"type": "n8n-nodes-base.telegram",
"position": [
816,
-272
],
"webhookId": "4f1045ae-5d81-46fc-b0ae-7146529a9700",
"parameters": {
"text": "=Notification: \n\n{{ $('Summarize Alert').item.json.output.text }}\n\n\nFollowed by the above activity, the scanning has been initiated and completed successfully. please find the below details.\n\n{{ $json.stdout }}\n\nThank you!\nMariskarthick M",
"chatId": "831690003",
"additionalFields": {}
},
"credentials": {
"telegramApi": {
"id": "kb3ymxZjowjLNhLb",
"name": "Shadowark AI"
}
},
"typeVersion": 1.2
}
],
"pinData": {},
"connections": {
"f44a9bc0-46d4-45c3-aaaa-3bf2eb567578": {
"main": [
[
{
"node": "8858c573-ad0b-4f14-8a19-993a93f6d8ca",
"type": "main",
"index": 0
}
]
]
},
"fb1f79ac-2b5a-4bac-8f49-9d4938ea8c9b": {
"main": [
[
{
"node": "b8e61b73-87fd-4511-9514-03135d34c348",
"type": "main",
"index": 0
}
]
]
},
"3c6645a6-3d16-48ec-8f35-a850244c3536": {
"main": [
[
{
"node": "f44a9bc0-46d4-45c3-aaaa-3bf2eb567578",
"type": "main",
"index": 0
}
]
]
},
"cad813f2-fb68-4e31-a85c-5732f11f4f96": {
"main": [
[
{
"node": "3c6645a6-3d16-48ec-8f35-a850244c3536",
"type": "main",
"index": 0
}
]
]
},
"6ed0c622-e956-46da-87bb-82d96548f108": {
"ai_languageModel": [
[
{
"node": "cad813f2-fb68-4e31-a85c-5732f11f4f96",
"type": "ai_languageModel",
"index": 0
}
]
]
},
"84cfeaa8-db3b-48be-a89d-fd2f9a3d66ec": {
"ai_languageModel": [
[
{
"node": "3c6645a6-3d16-48ec-8f35-a850244c3536",
"type": "ai_languageModel",
"index": 0
}
]
]
},
"b8e61b73-87fd-4511-9514-03135d34c348": {
"main": [
[
{
"node": "cad813f2-fb68-4e31-a85c-5732f11f4f96",
"type": "main",
"index": 0
}
],
[
{
"node": "961ed6cb-a6b7-401f-a2b5-aaadf91ab4f1",
"type": "main",
"index": 0
}
]
]
}
}
}よくある質問
このワークフローの使い方は?
上記のJSON設定コードをコピーし、n8nインスタンスで新しいワークフローを作成して「JSONからインポート」を選択、設定を貼り付けて認証情報を必要に応じて変更してください。
このワークフローはどんな場面に適していますか?
中級 - セキュリティ運用, AI要約
有料ですか?
このワークフローは完全無料です。ただし、ワークフローで使用するサードパーティサービス(OpenAI APIなど)は別途料金が発生する場合があります。
関連ワークフロー
Wazuh RuleOpsX – 自動検証・デプロイメント、検出能力向上
GitHub、XML検証、Telegramを使ってWazuhルールパイプラインを自動デプロイ
If
Ssh
Code
+
If
Ssh
Code
14 ノードmariskarthick
セキュリティ運用
AIセキュリティSOPHOS
Sophos、Gemini AI、そしてVirusTotalを使った自動化のなセキュリティアラート分析
If
Code
Webhook
+
If
Code
Webhook
9 ノードRizky Febriyan
セキュリティ運用
サイバーセキュリティアシスタント:GPT-4、Telegramボットとコマンド実行
GPT-4、Telegram ボット、そしてコマンド実行機能を統合したサイバーセキュリティ アシスタント
Telegram
Telegram Tool
Agent
+
Telegram
Telegram Tool
Agent
13 ノードmariskarthick
セキュリティ運用
AI採用担当者 - マルチ履歴分析ツール
OpenAI GPTを使用して複数の履歴書類と仕事募集コンテンツの適合度を分析する
If
Code
Webhook
+
If
Code
Webhook
18 ノードMs. Phuong Nguyen (phuongntn)
人事
Wazuh_Alert_Investigation コピー
GPT-4o-mini と Telegram を使った Wazuh アラートトリAGE とレポートの自動化
If
Webhook
Telegram
+
If
Webhook
Telegram
6 ノードmariskarthick
セキュリティ運用
AI および Gmail を使って YNAB 内の Amazon 取引の備考を自動更新
AIとGmailを使ってYNABのAmazon取引コメントを自動更新
If
Set
Wait
+
If
Set
Wait
30 ノードAngel Menendez
文書抽出
ワークフロー情報
難易度
中級
ノード数9
カテゴリー2
ノードタイプ8
作成者
mariskarthick
@mariskarthickAn Opensource Enthusiast specializing in detection engineering, threat hunting, and automating security operations to accelerate threat detection and response.
外部リンク
n8n.ioで表示 →
このワークフローを共有