Iam-AbuBakar/otx-threat-intel-enricher

OTX 威胁情报富化工具 一组 Bash 实用工具，专为安全运营中心 (SOC) 分析师和威胁狩猎人员设计，旨在通过 AlienVault OTX API 自动化 IP 地址富化和 MITRE ATT&CK 映射。 目的 调查工作流通常涉及分析数十个“脱敏”的 IP 地址（例如 1.2.3[.]4）。此工具集可自动化以下操作： 输入清理：立即从单个 IP 或批量列表中移除方括号 `[]`。 批量处理：从文本文件中高效地富化整个数据集。 MITRE ATT&CK 映射：解析复杂的 JSON pulses 以提取特定的 Technique ID 和名称。 前置条件 这些脚本需要 `curl` 和 `jq`。通过以下方式安装它们： Bash sudo apt update && sudo apt install jq curl -y 如何运行 为了维护安全性，这些脚本使用环境变量 (`OTX_KEY`) 来存储您的 API 密钥。这可以防止您的私钥被保存在 bash 历史记录中或硬编码到脚本中。 选项 A：批量富化（IP 列表） 当您有大量的指标列表时，请使用此脚本。它从名为 `ip8.txt` 的文件中读取数据。 命令： Bash export OTX_KEY="your_actual_api_key" && chmod +x enrich_list.sh && ./enrich_list.sh 输出：`otx_full_enrichment.json` 和 `mitre_attack_summary.txt`。 选项 B：快速分类（单个 IP） 用于对特定指标进行快速的一次性调查，而无需编辑任何文件。 命令： Bash export OTX_KEY="your_actual_api_key" && chmod +x enrich_single.sh && ./enrich_single.sh 157.20.182.75 输出：`single_ip_enrichment.json` 和 `single_ip_mitre.txt`。 输出说明 完整 JSON 富化：包含 IP 的完整技术档案，包括信誉、ASN、地理位置以及所有相关的威胁 Pulse。 MITRE 映射：与该 IP 相关的特定对手战术和技术的过滤摘要 (TTPs)，例如 T1110 - Brute Force 或 T1071 - Application Layer Protocol。

标签：API集成, Cloudflare, curl, Defanged IP, IP地址富化, IP 地址批量处理, jq, JSON解析, Linux运维, MITRE ATT&CK, TTP映射, 可观测性, 威胁情报, 安全运营中心, 应用安全, 开发者工具, 快速分类, 恶意行为分析, 数据清洗, 网络安全, 网络映射, 自动化响应, 隐私保护