sanidhyasahu12/Threat-intel-pipeline

GitHub: sanidhyasahu12/Threat-intel-pipeline

一个基于 Flask 的自动化威胁情报富化流水线,通过聚合 VirusTotal、Shodan 和 MITRE ATT&CK 数据,帮助安全分析师在数秒内完成 IP、域名和文件哈希的威胁评估与报告生成。

Stars: 0 | Forks: 0

# 🔴 威胁情报 Pipeline ![Python](https://img.shields.io/badge/Python-3.14-blue?style=flat-square&logo=python) ![Flask](https://img.shields.io/badge/Flask-Web%20App-black?style=flat-square&logo=flask) ![VirusTotal](https://img.shields.io/badge/VirusTotal-API-blue?style=flat-square) ![Shodan](https://img.shields.io/badge/Shodan-API-red?style=flat-square) ![MITRE](https://img.shields.io/badge/MITRE-ATT%26CK-orange?style=flat-square) ## 功能简介 SOC 分析师在每个班次都会收到数十个可疑的 IP、域名和文件哈希。跨多个平台手动检查每一个指标(IOC)需要 15-20 分钟。该工具可在 5 秒内自动化完成整个工作流程。 **输入:** 可疑的 IP 地址、域名或文件哈希 **输出:** 一份完整的情报丰富报告,包括: - 来自 90 多个防病毒引擎的 VirusTotal 扫描结果 - Shodan 情报 — 开放端口、国家、组织、标签 - MITRE ATT&CK 技术映射(TTP 识别) - 威胁评分(0-100)及动画仪表盘 - 可导出的 PDF 报告 - 持久化的扫描历史及实时统计 ## 在线演示 🔴 **[threatintel-pipeline.onrender.com](https://threatintel-pipeline.onrender.com)** ## 架构 ## 技术栈 | 工具 | 用途 | |------|---------| | Python 3.14 | 核心脚本语言 | | Flask | Web 服务器和 REST API | | VirusTotal API | 恶意软件和信誉扫描 | | Shodan API | 面向互联网的资产情报 | | MITRE ATT&CK | TTP 映射和威胁分类 | | python-dotenv | 安全的 API 密钥管理 | | jsPDF | 客户端 PDF 导出 | ## 设置与安装 ### 1. 克隆仓库 ``` git clone https://github.com/yourusername/threat-intel-pipeline.git cd threat-intel-pipeline ``` ### 2. 创建虚拟环境 ``` python -m venv venv venv\Scripts\activate # Windows source venv/bin/activate # Mac/Linux ``` ### 3. 安装依赖 ``` pip install -r requirements.txt ``` ### 4. 添加你的 API 密钥 在根目录下创建一个 `.env` 文件: 获取免费的 API 密钥: - VirusTotal: https://www.virustotal.com - Shodan: https://account.shodan.io ### 5. 运行 Web 仪表板 ``` python app.py ``` 在浏览器中打开 `http://localhost:5000`。 ### 6. 或运行 CLI 管道 将 IOC 添加到 `data/iocs.txt` 中(每行一个),然后: ``` python main.py ``` ## 功能特性 - **多类型 IOC 支持** — IP 地址、域名、文件哈希 - **自动化情报丰富** — 跨 VirusTotal 和 Shodan 进行并行检查 - **MITRE ATT&CK 映射** — 将 IOC 行为映射到已知的攻击技术 - **威胁评分** — 0-100 风险评分及动画可视化仪表盘 - **PDF 导出** — 一键下载完整的情报丰富报告 - **扫描历史** — 基于会话的历史记录表及判定标签 - **实时统计** — 恶意、可疑和干净 IOC 的实时汇总 - **CLI 模式** — 从终端无头运行,将 JSON 报告保存到 output/ ## 项目结构 ## 展现技能 - REST API 集成 (VirusTotal, Shodan) - Python 脚本编写和模块化代码架构 - 威胁情报丰富工作流程 - MITRE ATT&CK 框架应用 - SOAR 风格自动化思维 - Flask Web 开发 - 使用 dotenv 进行安全的凭证管理 - 专业文档编写 ## 作者 由 SANIDHYA SAHU(初级 SOC 分析师)构建 [LinkedIn] https://www.linkedin.com/in/sanidhyasahu12/
标签:API集成, Ask搜索, Cloudflare, Flask, IOC富化, IP信誉查询, IP 地址批量处理, MITRE ATT&CK, PDF报告生成, Python, REST API, SOC工具, TTP映射, VirusTotal, 可观测性, 后端开发, 威胁情报, 威胁评分, 安全运营中心, 密码管理, 开发者工具, 恶意域名检测, 恶意软件扫描, 情报收集, 文件哈希分析, 无后门, 漏洞发现, 漏洞研究, 网络信息收集, 网络安全, 网络映射, 自动化流水线, 资产暴露面检测, 逆向工具, 隐私保护, 黑名单检查