crtvrffnrt/IncidentResponseScripts

# 事件响应脚本 用于事件响应工作流程的小工具集合。 ## 1. Graph 邮件事件响应 (`graph_mail_ir.py`) 使用 Microsoft Graph 在 Exchange Online 邮箱中搜索特定邮件。 ### 安装配置 1. **准备邮件 ID**：创建一个文件（例如 `message_ids.txt`），包含您要查找的 Internet Message ID（每行一个）。 2. **注册应用**：运行辅助脚本创建具有必要权限的 Azure AD 应用（`Mail.Read`、`User.Read.All`、`Directory.Read.All`）。 ./mailreadappcreate.sh *请记下输出中的 Tenant ID、Client ID 和 Client Secret。* ### 使用方法 使用安装步骤中的凭据执行 Python 脚本： ``` python3 graph_mail_ir.py \ --tenant-id \ --client-id \ --client-secret "" \ --input message_ids.txt \ --output mail_timeline1.csv \ --upn '' ``` * `--upn`：可选。将搜索范围限定到单个邮箱（更快）。省略则搜索所有用户。 * `--input`：包含 Internet Message ID 的文件路径。 * `--output`：CSV 输出文件路径。 ## 2. VPN 检查器 (`vpnchecker.sh`) 使用 **ipapi.is** 检查 IP 列表中的 VPN 标识。 ### 安装配置与要求 1. 安装 `jq` 和 `curl`。 2. 在 `/Tools/apikeys.txt` 中设置您的 API 密钥： export ipapisisapi="YOUR_API_KEY" 3. 创建输入文件 `ips.txt`（或使用 `-i` 指定其他文件）。 ### 使用方法 ``` ./vpnchecker.sh -i ips.txt ``` ### 输出 将 IP 标记为 **MALICIOUS**（检测到 VPN）、**OK**（非 VPN）或 **UNKNOWN**。 ## 3. IP 转主机名 (`iptohost.py`) 通过查询多个 OSINT 源（Shodan、VirusTotal、被动 DNS 等）查找与 IP 地址相关的不同当前和历史主机名。 ### 安装配置与要求 1. 必须安装 **Python 3** 和 **curl**。 2. **API 密钥**：许多数据源需要 API 密钥。脚本会检查： - `/root/Tools/apikeys.txt` - `./apikeys.txt` - 环境变量 支持的密钥包括：`shodan`、`virustotal`、`otx`、`riskiq_user`、`riskiq_key`、`urlscan`、`securitytrails`、`censys`、`netlas`、`fofa_key`、`criminalip`、`whoisjson`、`ipinfo` 和 `ipapisis`。 *注意：如果未提供 API 密钥，仍将使用本地解析、Google DoH、crt.sh 和 HackerTarget。* ### 使用方法 **单个 IP（完整分析）：** ``` python3 iptohost.py -ip 1.2.3.4 ``` **批量（文件或 CIDR 范围）：** ``` python3 iptohost.py -f ips.txt python3 iptohost.py -r 1.2.3.0/24 ``` **JSON 输出：** ``` python3 iptohost.py -ip 1.2.3.4 --json ``` ### 功能 - **活动解析**：当前解析到目标 IP 的主机名。 - **历史发现**：被动 DNS、证书透明记录和历史 OSINT 数据库条目。 - **VT 分数**：显示 IP 的 VirusTotal 恶意检测比率。

标签：API集成, Ask搜索, Azure AD, ESC4, Exchange Online, IP情报, Libemu, Microsoft Graph, OSINT, Passive DNS, Shell脚本, VirusTotal, VPN检测, 可观测性, 威胁情报, 安全运营, 应急响应工具, 应用安全, 开发者工具, 扫描框架, 数字取证, 网络安全, 自动化脚本, 逆向工具, 邮件取证, 隐私保护