hudson-woomer/chimera

# Chimera 项目 ## 摘要 **Project Chimera** 是一个为 Recorded Future Professional Services 设计的生产级多态 IOC（Indicator of Compromise，威胁指标）引擎和威胁 Playbook 编译器。 该工具弥合了原始威胁情报与可执行防御之间的差距，通过自动化将**威胁行为者** 映射到其关联的**恶意软件**，随后映射到**多态 IOC**。通过遍历 Recorded Future Intelligence Graph，Chimera 提取高置信度的威胁指标，并将其编译为适用于各种安全平台（Splunk、CrowdStrike 等）的随时可部署的威胁 Playbook。 ## 工作原理 Chimera 基于 **2 跳有向无环图 (DAG) 遍历**模型运行： 1. **跳 1：** 识别与目标威胁行为者关联的所有恶意软件实体。 2. **跳 2：** 对于每个识别出的恶意软件，遍历到其关联的网络（IP、Domain、URL）和主机（Hash）IOC。 “多态”这一特性是指引擎处理 IOC 演变的能力，能够对其进行分类，并将其溯源至最初的攻击者-恶意软件关系。 ## 架构 Chimera 采用双模式接口构建： * **CLI 模式：** 由 **Cobra** 驱动的强大命令行界面，专为人类操作员和自动化流水线设计。 * **MCP 模式：** 与 **Model Context Protocol (MCP)** 集成，允许 AI 代理（如 Claude 或 Gemini）将 Chimera 作为威胁情报收集的专用工具使用。 ## 安装与配置 ### 前置条件 * Go 1.21 或更高版本 * 有效的 Recorded Future API Token ### 编译 ``` go build -o rf-chimera main.go ``` ### 配置 将您的 Recorded Future API token 设置为环境变量： ``` export RF_API_TOKEN="your_token_here" ``` ## 使用示例 ### CLI 命令 为特定威胁行为者构建 Playbook： ``` ./rf-chimera build --actor "APT29" --format splunk ``` ### 自然语言 (MCP) 如果通过兼容 MCP 的代理运行： *由 Recorded Future Professional Services 开发。*

标签：API集成, APT, CLI, Cobra, CrowdStrike, DAG, EDR, EVTX分析, FTP漏洞扫描, Golang, Go语言, IOC, IP 地址批量处理, MCP, Recorded Future, TI, TShark, WiFi技术, 可观测性, 图遍历, 基础设施映射, 多态失陷指标, 大模型集成, 失陷指标, 威胁建模, 威胁情报, 威胁行为者, 安全编排, 安全编程, 开发者工具, 恶意软件, 搜索语句（dork）, 攻击面映射, 日志审计, 有向无环图, 模型上下文协议, 程序破解, 网络信息收集, 网络威胁情报, 网络安全, 脆弱性评估, 配置审计, 防御剧本, 限速, 隐私保护, 高级持续威胁