0x7070/PrismTEC

# PrismTEC PrismTEC：Prism 威胁富化与关联引擎负责接收警报，将其规范化为标准格式，利用威胁情报富化任何 IOC，计算风险和置信度得分，并将富化后的 IOC 信息导出为格式化的 JSON，旨在支持平台无关性。 ## 操作层 **第 1 层：数据摄取与规范化** - 摄取批量或独立的威胁数据（源自“可预测的结构化数据”） - 支持的格式： - `Splunk`, `XSOAR` - 将摄取的数据重新格式化为 PrismTEC JSON 结构 ## 威胁情报富化来源 | ***情报重点领域*** | ***来源*** | | --- | --- | | **IPv4 地址** | `AbuseIPDB`, `VirusTotal`, `Shodan` | | **域名** | `VirusTotal`, `Whois` | | **URL** | `VirusTotal`, `URLScan` | IP： - 信誉（是否恶意）： - VirusTotal/AbuseIPDB - 基础设施（是什么）： - ipinfo - 暴露情况（在做什么）： - Shodan - DNS 关系（连接到了什么？） - SecurityTrails - 上下文（为何重要）： - GreyNoise（噪音与威胁分类） - OTX（活动上下文） ## 设置说明： - 克隆此仓库 - 导航至 `/PrismTEC/`（即 `pyproject.toml` 所在的目录） - 安装模块并修复 PATH： - `pip install -e .` - 将您的 API 密钥添加到 `./CONFIG.json` ## 相关说明： ### 服务 **VirusTotal**： - [IP-Object 返回值](https://docs.virustotal.com/reference/ip-object) - [VT API 文档](https://docs.virustotal.com/reference/ip-info) **AbuseIPDB**： - [AbuseIPDB 文档](https://docs.abuseipdb.com/?python#introduction) - AbuseIPDB 文档说明了以下内容： - 请求过多会导致 `HTTP:429 - Too Many Requests` - [API 每日速率限制](https://docs.abuseipdb.com/?python#api-daily-rate-limits) - 所有的 API 密钥均应通过标头传递，尽管它们也可以通过参数传递。 **IpInfo**： - [IpInfo 文档](https://ipinfo.io/developers/lite-api) - 没有每日或每月限制，提供无限访问 - ***文档中列出了可用字段*** - URL 中的 `/me` 用于获取有关您自己 IP 的信息 **Shodan**： - [Shodan 仪表板](https://www.shodan.io/dashboard) - [Shodan 文档](https://shodan.readthedocs.io/en/latest/) - [Shodan 文档 / 查询主机](https://shodan.readthedocs.io/en/latest/tutorial.html#looking-up-a-host) - [Shodan 文档 / 函数与异常](https://shodan.readthedocs.io/en/latest/api.html) ### 其他 **IPaddress**： - [IPaddress 文档](https://docs.python.org/3/library/ipaddress.html) **JSON API 规范**： - [JSON API 规范](https://jsonapi.org/format/#errors)

标签：AbuseIPDB, API集成, Ask搜索, IOC分析, IP 地址批量处理, IP情报, JSON数据格式化, masscan, Python, SOC工具, VirusTotal, XSOAR, 可观测性, 域名情报, 威胁富化, 威胁情报, 威胁情报平台, 威胁评分, 安全信息与事件管理, 安全告警关联, 密码管理, 开发者工具, 指标妥协, 搜索引擎爬取, 无后门, 漏洞发现, 网络威胁情报, 网络安全, 自动化 enrichment, 逆向工具, 隐私保护