kapishpen33-wq/ai-threat-intelligence-soar

# AI 威胁情报 SOAR 工具 ## 概述 本项目是一个基于 Python 的安全自动化工具，它可以解析原始日志、提取入侵指标、使用 VirusTotal 丰富可疑 IP 地址、在 SQLite 中缓存先前扫描结果、生成防火墙就绪的阻止列表，并生成分析师可读的事故报告。 目标是模拟安全运营中心（SOC）分析师如何自动化早期阶段的分类，同时仍然保持最终安全决策基于证据和分析师审查。 ## 本项目展示的内容 - 使用 Python 和 RegEx 进行日志解析和 IOC 提取 - 使用 VirusTotal API 进行威胁情报丰富 - SQLite 缓存以减少重复的 API 调用 - 自动生成阻止列表工件 - AI 辅助的事故报告起草 - 安全自动化工作流程设计 - 分析师友好的报告和分类逻辑 ## 工作流程 text 原始日志 → 提取 IP 地址 → 去重指标 → 检查 SQLite 缓存 → 对未知 IP 查询 VirusTotal → 评分威胁声誉 → 生成 blocklist.json → 生成 incident_report.md ## 关键输出 | 输出 | 目的 | |---|---| | blocklist.json | 防火墙就绪的恶意 IP 列表 | | incident_report.md | 分析师可读的事故报告 | | threat_cache.db | 之前丰富结果的本地缓存 | | suspicious_logs.txt | 样本日志输入 | | scanner.py | 主要自动化脚本 | ## 安全价值 手动 IOC 分类可能很慢且重复。本项目展示了 Python 自动化如何通过提取指标、使用威胁情报丰富它们以及生成用于审查的结构化输出来减少分析师的工作量。 该工具不取代分析师的判断。它加速了分类并提供安全分析师在采取行动之前可以验证的证据。 ## 使用工具 - Python - RegEx - VirusTotal API - SQLite - JSON - Markdown - 用于报告起草的 Google Gemini API ## MITRE ATT&CK 相关性 本项目支持与可疑网络活动、恶意基础设施和外部威胁指标相关的调查工作流程。它可以作为涉及命令和控制基础设施、暴力破解活动、扫描或可疑外部连接的事件分类的一部分使用。 ## 局限性 - 工具依赖于外部威胁情报 API 的结果。 - 在执行之前应审查 VirusTotal 的检测。 - 在生产中使用之前应验证阻止列表。 - AI 生成的报告应被视为草案，而不是最终的安全决策。 - 样本日志是模拟的，不包含真实客户或企业数据。

标签：AMSI绕过, Ask搜索, Gemini API, Homebrew安装, IOC提取, JSON, Markdown, Python, SOAR, SQLite, VirusTotal, 人工智能, 分析师工具, 威胁响应, 威胁情报, 威胁检测, 威胁评分, 开发者工具, 数据缓存, 无后门, 日志解析, 日志解析正则表达式, 用户模式Hook绕过, 网络安全, 自动化流程, 证书伪造, 逆向工具, 防御加固, 防火墙, 隐私保护