pduggusa/dugganusa-splunk

# DugganUSA Splunk Technology Add-on **Ingest 1M+ threat indicators into Splunk. CIM-mapped. Free tier available.** ## 安装 1. 将 `TA-dugganusa/` 复制到 `$SPLUNK_HOME/etc/apps/` 2. 重启 Splunk 3. 通过“设置”→“数据输入”→“DugganUSA STIX”进行配置 或从 Splunkbase 安装（提交待处理）。 ## 功能 - 每小时拉取 DugganUSA STIX 2.1 订阅源 - 将指标作为 Splunk 事件写入 `threat_intel` 索引 - 下载 IP 和域名 CSV 屏蔽列表作为 Splunk 查找 - 映射到威胁情报数据模型（CIM） - 与 Splunk ES 兼容 ## 配置 将 API 密钥设置为环境变量： ``` export DUGGANUSA_API_KEY=dugusa_YOUR_KEY_HERE ``` 或编辑 `default/inputs.conf` 以添加密钥。 免费套餐（每天 500 次查询）无需密钥即可使用。 ## CIM 映射 | Splunk CIM 字段 | DugganUSA 字段 | |-------------------|----------------| | threat_match_value | value | | threat_category | threat_type | | threat_source | source | | threat_confidence | confidence | | threat_group | malware_family | ## 查找 自动每小时更新： - `dugganusa_ip_blocklist.csv` — 用于关联的 IP 地址 - `dugganusa_domain_blocklist.csv` — 用于 DNS 关联的域名 ## 免费 API 密钥 [analytics.dugganusa.com/stix/register](https://analytics.dugganusa.com/stix/register) ## DugganUSA 生态系统的一部分 - [VS Code 扩展](https://marketplace.visualstudio.com/items?itemName=DugganUSALLC.dugganusa-threat-intel) - [CLI 工具](https://github.com/pduggusa/dugganusa-cli) - [GitHub 动作](https://github.com/pduggusa/dugganusa-action) - [Chrome 扩展](https://github.com/pduggusa/dugganusa-chrome) - [Slack 机器人](https://github.com/pduggusa/dugganusa-slack) - [STIX 订阅源](https://analytics.dugganusa.com/api/v1/stix-feed) - [dugganusa.com](https://www.dugganusa.com) ## 许可证 MIT — [DugganUSA LLC](https://www.dugganusa.com)

标签：API密钥, CIM, CIM映射, CSV块列表, GitHub操作, IOC, IP块列表, Slack机器人, Splunkbase, Splunk ES, Splunk Technology Add-on, Splunk企业安全, STIX, STIX 2.1, VSCode扩展, 免费层, 域名块列表, 威胁分类, 威胁匹配值, 威胁情报, 威胁情报数据模型, 威胁来源, 威胁置信度, 开发者工具, 恶意软件家族, 指标妥协, 数据摄入, 日志索引, 查找表, 每小时拉取, 生态插件