jarvishdinocent/MISP-Automated-Intelligence-Pipeline

# 🔐 MISP 自动化情报流水线

## 📌 概述 **MISP 自动化情报流水线**是一个基于 Python 的轻量级威胁情报摄取引擎。它旨在**收集、去重、评分并推送**高保真的外部威胁源数据直接到您的 MISP 实例中。 ## 🎯 主要目标 * 🤖 **自动化**摄取来自世界级威胁源的数据。 * 🧹 通过基于 MD5 的去重机制**清洗**数据。 * 🧠 通过基于关键词的评分机制对情报进行**优先级排序**。 * 🏷️ 通过自动化的 TLP 和来源标签为情报**提供上下文**。 ## ⚙️ 功能特性 ### 🔗 集成的威胁源 | 来源 | 格式 | 类型 | | :--- | :--- | :--- | | **CISA KEV** | `JSON` | 被利用的漏洞 | | **CISA ICS** | `RSS` | 工业控制系统 | | **NCSC UK** | `RSS` | 国家级公告 | | **ANSSI** | `RSS` | 法国 CERT 警报 | | **BSI** | `RSS` | 德国 CERT 警报 | ### 🧠 情报评分逻辑 该脚本通过分析标题和描述来分配优先级评分： * 🔴 **严重** → `+50` * 🟠 **勒索软件** → `+30` * 🟡 **漏洞利用** → `+20` ## 🏗️ 工作流程 外部源 → 处理 → 去重 → 评分 → 创建 MISP 事件 ## 📂 项目结构 ``` ├── unified_feeds.py # Main logic & feed handlers ├── requirements.txt # Dependencies ├── .env # Private configuration └── .gitignore # Prevents credential leaks ├── LICENSE # Project usage rights ├── README.md # Documentation ``` ## 🚀 快速开始 1️⃣ 安装 # 克隆仓库 * git clone https://github.com/jarvishdinocent/MISP-Automated-Intelligence-Pipeline.git * cd MISP-Automated-Intelligence-Pipeline # 设置虚拟环境 * python3 -m venv venv * source venv/bin/activate # 安装依赖 * pip install -r requirements.txt 2️⃣ 配置 * 在根目录下创建一个 .env 文件： * MISP_URL="https://your-misp-instance" * MISP_KEY="your-api-key" * VERIFY_SSL=False 3️⃣ 执行 * python3 unified_feeds.py ## 📈 输出 该脚本将会： * 为每个源创建 MISP 事件 * 填充属性： * CVE ID（KEV） * 公告链接（RSS 源） * 在评论中应用情报评分 * 附加上下文标签 * 防止重复条目 ## ⚠️ 已知限制 * 去重仅在单次执行中有效，不具备持久性 * 评分为基于关键词的方式（基础版） * 部分源可能会返回 HTTP 错误（如：403/超时） * 暂不支持 MITRE ATT&CK 映射 ## 🔐 安全注意事项 * 切勿将 API 密钥公开暴露 * 在生产环境中请使用环境变量 * 仅在受信任的环境中禁用 SSL 验证 ## 🚀 未来改进 * 持久化去重（基于数据库/文件） * 高级评分模型 * 为受限源提供代理支持 * MITRE ATT&CK 丰富化 * 输出日志到文件

标签：CERT, CISA KEV, ESC4, Homebrew安装, ICS, NTLM Relay, OSINT, PKINIT, Python, TLP, 上下文标记, 勒索软件, 多源情报接入, 威胁情报, 威胁情报管理, 安全告警, 安全数据清洗, 安全脚本, 安全运营, 实时处理, 工控安全, 开发者工具, 情报收集, 情报评分, 扫描框架, 数据去重, 无后门, 漏洞研究, 自动化流水线, 自动化集成, 逆向工具