ritiksharma33/security-alert-enrichment-tool

# 🛡️ Sentinel SOAR ### （基本上，一种停止手动安全查询的方式） https://github.com/user-attachments/assets/791304ee-5360-4478-aeb3-6f4030105eda 我构建了 **Sentinel SOAR**，因为说实话——手动检查每一个可疑 IP 或文件哈希真的很痛苦。这是一个模块化框架，专门处理安全分析中那些“枯燥”的部分。它连接了几个主流的威胁情报 API，并使用一些“If-This-Then-That”逻辑来告诉你某个东西是真的危险，还是只是虚惊一场。 它帮我（也希望帮其他分析师）节省了大约 80% 通常用于 MTTR 的时间。 ## 🚀 它的实际功能 * **智能 Playbooks：** 我编写了一套逻辑，将威胁分类为“Critical（严重）”、“Warning（警告）”或“Safe（安全）”。这不是瞎猜——它会同时考量多个不同的因素。 * **三大 API：** 已经配置好连接 **AbuseIPDB**（用于 IP）、**WHOIS**（查看域名年龄）和 **VirusTotal**（用于文件哈希）。 * **信息 enrichment：** 不仅仅是得到“坏”或“好”的结果，它还能检索国家、ISP，甚至是标记了该文件的杀毒引擎数量。 * **批处理模式：** 如果你有来自防火墙日志的大量 IP 列表，只需放入 CSV 文件即可。它会一次性全部扫描，这样你就不必一个个手动处理了。 * **白名单：** 我添加了一个抑制列表，这样当工具看到像 Google DNS (8.8.8.8) 这样的内容时就不会大惊小怪。 ## 🧠 逻辑原理（即“大脑”） 我尽量保持规则简单但有效： | 模块 | 检查内容 | 结果 | | :--- | :--- | :--- | | **IPs** | 置信度分数是否 > 80%？ | **CRITICAL**（阻止它） | | **Domains** | 域名是否少于 30 天？ | **CRITICAL**（可能是钓鱼网站） | | **Files** | 是否有 10+ 个 AV 引擎报毒？ | **CRITICAL**（它是恶意软件） | | **Whitelist** | 是否在我们的“受信任”列表中？ | **SAFE**（忽略它） | ## 📄 操作步骤（SOP） 基本上，使用方法如下： 1. **输入：** 给它一个 IP、域名或哈希。或者直接上传你的 CSV 文件。 2. **查询：** 应用程序会调用 API 并检查我的白名单。 3. **分析：** 引擎根据“If-This-Then-That”规则判定风险等级。 4. **修复：** 如果是 CRITICAL，它会给你一个命令（比如 `iptables`）立即阻止它。 5. **日志：** 所有内容都会带时间戳保存，以便你稍后回溯查看。 ## 🛠️ 使用的技术 * **后端：** Python 3 (FastAPI) —— 我在批量扫描中使用了 async，这样程序就不会卡住。 * **前端：** React 和 Lucide-React（用于图标）。 * **底层支持：** `httpx` 用于 API 调用，`python-whois` 用于域名查询。 ## ⚙️ 如何在本地运行 1. **克隆代码：** `git clone https://github.com/ritiksharma33/security-alert-enrichment-tool` 2. **API Keys：** 你需要在根目录下有一个 `.env` 文件。像这样把你的密钥放进去： `ABUSEIPDB_API_KEY=your_key_here` `VIRUSTOTAL_API_KEY=your_key_here` 3. **启动后端：** `uvicorn backend.main:app --reload` 4. **启动 UI：** `npm install && npm start` *我是一名大三 CSE 学生，只想把一切都自动化。如果你发现了 bug，请告诉我！*

标签：AbuseIPDB, Ask搜索, HTTP/HTTPS抓包, IP地址信誉检查, IP 地址批量处理, MTTR优化, Python, SOAR, VirusTotal, 剧本引擎, 域名WHOIS查询, 威胁情报, 安全工具开发, 安全编排与自动化响应, 库, 应急响应, 开发者工具, 态势感知, 恶意文件检测, 无后门, 网络安全, 误报过滤, 运行时操纵, 逆向工具, 防火墙日志处理, 隐私保护, 风险分类