aliyev-s/SOC-Automation-Tools

# 🚀 简易 SOC IP 查询工具（Python + AbuseIPDB API） ## 这是什么？ 这是我在日志分析期间为加快可疑 IP 检查速度而快速编写的一个 Python 脚本。它省去了从防火墙或 SIEM 日志中手动将每个异常 IP 复制粘贴到浏览器的过程，该脚本直接调用 AbuseIPDB API，并在终端中为你提供一份清晰的威胁报告。 ## 为何这样设计： * **无硬编码密钥：** 将私有 API 密钥直接写入代码是一种不良的安全实践。我将此脚本设计为从环境变量（`ABUSEIPDB_API_KEY`）安全加载凭据。 * **内置崩溃保护：** 早期版本在 AbuseIPDB 未为私有或 Google DNS IP 返回明确的国家名称时会崩溃。我通过改用 `.get()` 方法修复了此问题，使其能优雅地处理缺失字段而不会中断工作流程。 * **快速决策：** 它会自动标记任何滥用置信度评分超过 20% 的 IP，让一线分析师知道是否需要立即推送阻止规则。 ## 如何设置并运行 ### 1. 前置条件 你只需要 Python 3 和标准的 `requests` 库。如果尚未安装，请通过终端安装： ``` pip install requests ``` ### 2. 设置 API 密钥 从 AbuseIPDB 获取免费的 API 密钥，然后将其注入本地环境，以便脚本可以安全读取： * **Windows (PowerShell)：** `$env:ABUSEIPDB_API_KEY="your_actual_api_key_here"` * **Linux / macOS：** `export ABUSEIPDB_API_KEY="your_actual_api_key_here"` ### 3. 运行脚本 ``` python ip_enrichment.py ``` ## 📊 快速演示 以下是向其输入一个已知恶意 IP 时终端输出的样例： ``` ================================================== SOC Automation Tool: Threat Intel Enrichment ================================================== Enter suspicious IP address to analyze: 185.220.101.5 ================================================== 🔍 SOC THREAT INTEL REPORT FOR IP: 185.220.101.5 ================================================== 🏳️ Country : Germany 🏢 ISP : Unassigned ⚠️ Abuse Score : 100% 💬 Total Reports: 14032 ================================================== 🚨 ALERT: This IP is highly suspicious! Block action recommended. ================================================== ```

标签：AMSI绕过, API集成, IP查找, Python, 事件分诊, 信誉检查, 可观测性, 威胁分析, 威胁情报, 威胁检测, 安全运营, 安全运营中心, 开发者工具, 快速响应, 扫描框架, 数据enrichment, 无后门, 网络安全, 网络映射, 网络调试, 脚本工具, 自动化, 自动化侦查工具, 逆向工具, 隐私保护