ashishahire15/SOC-Threat-Intelligence-Platform

# SOC 威胁情报自动化平台 ## 概述 本项目是一个基于 Python 的 SOC 自动化工具，用于监控安全告警并利用 VirusTotal API 丰富威胁情报指标。该平台持续分析告警，提取 IP 地址、域名和文件哈希等指标，并生成结构化调查报告，以协助 SOC 分析师更快地进行告警分流。 该系统通过利用外部威胁情报自动丰富来自 Wazuh 的告警，模拟了真实的 SOC 工作流程。 ## 架构 ``` Endpoints / Logs ↓ Wazuh Agent ↓ Wazuh Manager (alerts.json) ↓ Python Real-Time Monitor ↓ VirusTotal API ↓ Threat Intelligence Report (CSV) ``` ## 功能特性 * 安全告警实时监控 * 自动提取失陷指标 * 集成 VirusTotal 威胁情报 API * 基于恶意检测次数的风险评分 * 持续生成 SOC 调查报告 * 模块化 Python 架构，易于扩展 ## 技术栈 * Python 3 * VirusTotal API * Wazuh SIEM ## 项目结构 ``` SOC-Threat-Intelligence-Platform/ │ ├── main.py ├── realtime_monitor.py ├── wazuh_parser.py ├── vt_lookup.py ├── report_generator.py ├── config.py ├── report.csv └── README.md ``` ## 安装 克隆仓库： ``` https://github.com/ashishahire15/SOC-Threat-Intelligence-Platform.git cd SOC-Threat-Intelligence-Platform ``` 安装依赖： ``` pip install requests pandas ``` ## 配置 创建一个 VirusTotal 账户并获取 API 密钥。 更新 `config.py`： ``` API_KEY = "YOUR_VIRUSTOTAL_API_KEY" ``` ## 运行应用 该脚本监控位于以下路径的 Wazuh 告警日志： ``` /var/ossec/logs/alerts/alerts.json ``` 运行工具： ``` sudo python3 main.py ``` 由于 Wazuh 告警日志受权限保护，可能需要 Root 权限。 ## 示例输出 控制台输出： ``` SOC Threat Intelligence Automation Started... ========== NEW WAZUH ALERT ========== Indicator: 185.220.101.5 Type: IP Score: 12 Risk: HIGH ``` 示例 `report.csv`： | Indicator | Type | Score | Risk | | -------------------------------- | ---- | ----- | -------- | | 185.220.101.5 | IP | 12 | HIGH | | 44d88612fea8a8f36de82e1278abb02f | Hash | 45 | CRITICAL | 每条新告警都会自动追加到报告中。 ## SOC 用例 本项目演示了安全团队如何在 SIEM 流水线中自动化告警丰富。通过将告警与外部威胁情报源关联，分析师可以减少人工调查时间，并快速识别恶意指标。 ## 未来改进 * 集成更多威胁情报源（AbuseIPDB, AlienVault OTX） * 恶意 IP 自动拦截 * 用于历史追踪的 IOC 数据库 * 面向 SOC 分析师的 Web 仪表板 * MITRE ATT&CK 映射 * Slack 或邮件告警通知 ## 许可证 本项目仅供教育和研究目的使用。

标签：Ask搜索, DAST, FTP漏洞扫描, HTTP/HTTPS抓包, IOC提取, Python, VirusTotal, Wazuh, 威胁情报, 安全编排, 安全运营, 库, 应急响应, 开发者工具, 态势感知, 恶意软件分析, 情报富化, 扫描框架, 无后门, 网络安全, 网络调试, 自动化, 逆向工具, 隐私保护