Sebastian771-177/Watchtower

# Watchtower ◈ Watchtower 统一威胁情报平台 一个将 Centinela OSINT 和 Sentinel 结合成单一专业威胁情报平台的统一仪表板 —— 从西班牙语暗网监控到自动化 IOC 梳理，一切尽在掌控。 🔍 功能介绍 Watchtower 按顺序运行两个威胁情报模块，并通过单个命令呈现统一的分析师仪表板。 模块 1 — Centinela OSINT 从暗网论坛、Telegram 频道和地下市场获取西班牙语威胁情报帖子。使用 Claude 提取结构化威胁情报，包括严重程度、MITRE ATT&CK TTPs、目标行业、IOC 以及分析师建议。 模块 2 — Sentinel IOC 梳理 接收 IP 地址、域名、文件哈希和网络钓鱼邮件。查询 VirusTotal 和 AbuseIPDB，然后使用 Claude 将结果综合为通俗易懂的英文分析师判定结论及推荐的后续步骤。 统一仪表板 一个带有颜色编码的单一 HTML 仪表板，展示跨两个模块的所有发现结果，并提供会话级别的统计数据 —— 分析的总指标数、严重和高危数量、恶意判定总数 —— 以及完整的 JSON 报告导出。 🛠 技术栈 Python 3.10+ Anthropic Claude API (claude-opus-4-5) — 威胁情报源分析、IOC 综合、网络钓鱼检测 VirusTotal API — 多引擎恶意软件和信誉扫描（免费套餐） AbuseIPDB API — IP 滥用信誉和报告（免费套餐） Google Colab — 带有 HTML 渲染功能的交互式 Notebook 环境 🚀 入门指南 在 Google Colab 中运行（推荐） 将 watchtower.py 上传到 Google Colab 或手动粘贴单元格 点击左侧边栏的 🔑 Secrets 图标 添加以下 Secrets： Secret Name获取方式ANTHROPIC_API_KEYconsole.anthropic.comVIRUSTOTAL_API_KEYvirustotal.com → 注册 → API KeyABUSEIPDB_API_KEYabuseipdb.com → 注册 → API Key 为每个 Secret 切换 Notebook access 为开启状态 在 Cell 9 中，设置 use_mock=False 从上到下运行所有单元格 还没有 API 密钥？在 Cell 9 中设置 use_mock=True 即可运行带有模拟数据的完整演示 —— 无需任何设置。 本地运行 bashpip install anthropic requests export ANTHROPIC_API_KEY=sk-ant-... export VIRUSTOTAL_API_KEY=your-key export ABUSEIPDB_API_KEY=your-key python watchtower.py 📊 仪表板输出 Watchtower 仪表板呈现两个部分： ◈ Centinela — 西班牙语威胁情报 每个威胁情报条目的严重性编码卡片 原始帖子（西班牙语）+ 英文分析师摘要 TTPs、目标行业、IOC 标签、TLP 分类 ◈ Sentinel — IOC 梳理与分析 每个指标的判定徽章 (MALICIOUS / SUSPICIOUS / CLEAN) VirusTotal 引擎数量细分 AbuseIPDB 滥用分数、国家、ISP、Tor 检测 关键发现、建议措施、MITRE TTPs 会话摘要表头 分析的总指标数 严重 / 高危数量 恶意判定计数 已处理威胁情报源 vs 已梳理 IOC 数量 📁 项目结构 watchtower/ ├── watchtower.py # 主脚本（粘贴到 Colab 单元格中） ├── README.md # 本文件 └── watchtower_report.json # 运行后生成 — 完整会话导出 💡 开发初衷 Centinela 和 Sentinel 最初是作为独立工具构建的，各自解决特定问题。Watchtower 将它们统一到了一个平台中，因为真实的 SOC 工作流并非孤立运作 —— 分析师需要在同一视图中兼顾威胁情报源和 IOC 梳理。 会话级统计层也反映了 SOC 团队衡量其工作的实际方式：不仅是个别判定，还有监控周期内的整体威胁态势。 🔗 完整作品集 这是基于 Anthropic Claude API 构建的网络安全 AI 作品集中的第三个项目： 项目描述Centinela OSINT西班牙语威胁情报源监控SentinelIOC 梳理与分析助手Watchtower结合两者工具的统一平台 🔮 路线图 集成 AlienVault OTX 以进行额外的 IOC 富化 通过 Shodan 查询进行 IP 基础设施分析 导出 STIX 2.1 以供 SIEM 接入 支持从 CSV 进行批量 IOC 输入 带有告警功能的定时监控模式 使用 Streamlit 或 Gradio 构建的 Web UI 👤 作者 Sebastian Guerrero CompTIA Security+ | Google Cybersecurity Certificate 国际关系学士 | 西班牙语流利 居住于佛罗里达州迈阿密 GitHub · LinkedIn ⚠️ 免责声明 本工具使用模拟的威胁情报源数据仅作演示目的。未访问任何真实的暗网来源。本项目仅用于教育和作品集展示目的。

标签：AbuseIPDB, AI驱动安全, Ask搜索, Claude API, DAST, ESC4, Google Colab, HTML仪表盘, IOC分类, IP信誉分析, JSON报告生成, masscan, OSINT, Python, SOC分析工具, Telegram监控, TTP提取, VirusTotal, 域名信誉分析, 大语言模型安全应用, 失陷标示分析, 威胁情报, 威胁情报平台, 安全仪表盘, 安全编排与自动化响应, 实时处理, 开发者工具, 恶意软件分析, 情报聚合, 文件哈希分析, 无后门, 暗网监控, 统一威胁情报平台, 网络威胁情报, 网络安全, 网络钓鱼分析, 西班牙语安全, 逆向工具, 隐私保护