Eyespy-ctrl/threat-intelligence-enrichment-tool

# 威胁情报富化平台 一个基于 Python 并使用 Flask 构建的威胁情报富化工具，它聚合并关联来自多个威胁情报提供商的情报，以协助安全分析师调查 IP 指标。 该平台查询多个安全情报服务，并将结果整合到一个统一的调查仪表板中。 ## 概述 威胁情报富化是安全运营中心 工作流程中的关键环节。分析师经常需要调查 IP 地址、域名和其他失陷指标。该工具通过同时查询多个威胁情报来源，实现了富化流程的自动化。 本项目演示了分析师如何构建类似于专业安全环境中使用的轻量级富化平台。 ## 功能特性 * 多源威胁情报富化 * 自动化 IP、Domain 和 URL 调查 * 聚合多个威胁情报 API * 使用 SQLite 进行结构化情报存储 * 基于 Web 的调查仪表板 * 将结果导出为 CSV * 模块化架构，支持添加额外的情报提供商 ## 集成的威胁情报来源 该平台集成了来自以下提供商的情报： * VirusTotal * AbuseIPDB * Shodan * AlienVault OTX 每个提供商提供额外的上下文信息，例如： * 信誉评分 * 开放端口 * 恶意软件检测 * 滥用报告 * 威胁脉冲 * 地理位置 ## 项目结构 ``` ti-tool/ │ ├── app.py ├── enrich.py ├── database.py ├── requirements.txt │ ├── modules/ │ ├── virustotal_lookup.py │ ├── abuseipdb_lookup.py │ ├── shodan_lookup.py │ └── alienvault.py │ ├── templates/ │ └── instance/ ``` ## 安装说明 克隆仓库： ``` git clone https://github.com/YOUR_USERNAME/threat-intelligence-enrichment-tool.git cd threat-intelligence-enrichment-tool ``` 创建虚拟环境： ``` python3 -m venv venv source venv/bin/activate ``` 安装依赖： ``` pip install -r requirements.txt ``` ## 环境变量 创建一个 `.env` 文件并添加你的 API 密钥： ``` VIRUSTOTAL_API_KEY=your_key ABUSEIPDB_API_KEY=your_key SHODAN_API_KEY=your_key ALIENVAULT_API_KEY=your_key ``` ## 运行应用程序 启动 Flask 应用程序： ``` python app.py ``` 打开 Web 界面： ``` http://127.0.0.1:5000 ``` 输入一个 IP 地址以执行威胁情报富化查询。 ## 示例用例 安全分析师可以使用此工具来： 1. 调查可疑的 IP 地址、URL 和域名 2. 关联来自多个提供商的情报 3. 识别恶意基础设施 4. 导出调查结果 ## 未来改进 可能的增强功能包括： * 额外的富化类型，例如文件哈希和邮件指标 * 高级威胁评分和风险优先级排序 * 交互式数据可视化和调查仪表板 * 集成更多的情报提供商 * 自动化 IOC 获取 ## 教育目的 本项目的创建出于教育和作品集展示目的，旨在演示： * API 集成 * 威胁情报富化工作流 * 使用 Python 开发安全工具 * 基于 Flask 的安全仪表板 ## 许可证 本项目采用 MIT 许可证发布。

标签：AbuseIPDB, Ask搜索, Flask, HTTP/HTTPS抓包, IOC分析, IP查询, Python安全工具, Sigma 规则, SOC工具, SQLite, URL扫描, VirusTotal, 域名分析, 威胁情报, 安全仪表盘, 安全调查, 开发者工具, 态势感知, 情报富化, 漏洞发现, 结构化查询, 自动化安全, 自定义DNS解析器, 逆向工具