mateusdias96cs/aegis-threat-intelligence

# AEGIS 威胁情报 **🌐 在线访问:** [aegiscti.me](https://aegiscti.me) ## 功能特性 ### IOC 仪表板 所有活跃指标的整合视图，支持按严重性、类型、状态和全文搜索进行筛选。支持导出兼容SIEM系统（Splunk, QRadar, Microsoft Sentinel）的CSV格式。 ### 基于资产的威胁分析 分析师注册所防御环境的技术栈——例如 Apache、MySQL、AWS、Active Directory 等。系统会自动筛选与该特定技术栈相关的IOC，区分哪些是噪音、哪些是真实威胁。  市场上没有任何免费的CTI工具能做到这一点。 ### 攻击活动 — 攻击者行为画像 打开任何IOC并点击 **查看杀伤链**，系统会基于分析师在AbuseIPDB报告的真实数据，并映射到MITRE ATT&CK框架，重构攻击者的完整行为。  分析师看到的不再是“评分100”，而是： ``` Reconnaissance → Initial Access → Credential Access → Lateral Movement Port Scan Hacking Brute Force SSH Attack T1046 — T1110 T1021.004 ``` 并通过关联在同一时间窗口内表现出相同攻击模式的IP进行验证。 ### MITRE ATT&CK 浏览器 完整浏览MITRE ATT&CK框架的技术条目，这些条目由流水线自动加载，支持按战术筛选以及按ID或名称搜索。  ### 分析师工作台 每位分析师的本地调查区域——可以置顶可疑IOC，记录上下文备注，并生成一个用于交接班的共享代码。下一位分析师粘贴该代码后，可以以只读模式查看IOC和备注。  解决了24/7 SOC环境中轮班交接的问题，无需依赖电子邮件或电子表格。 ## 数据来源 | 来源 | 类型 | 数据量 | |---|---|---| | CISA KEV | 正在被主动利用的CVE漏洞 | 约75条近期记录 | | AlienVault OTX | IP、域名、哈希、URL | 每次运行约300条 | | ThreatFox | 恶意软件和C2 | 变量 | | URLhaus | 恶意URL | 最多2000条 | | Feodo Tracker | 僵尸网络C2的IP | 约5条 | | AbuseIPDB黑名单 | 有滥用历史的IP | 最多10,000条 | **当前数据库中的总数：约29,000个活跃IOC** ## 评分机制 — BioSec 框架 每个IOC都获得一个可审计的评分，由三个组成部分计算得出： ``` Score = (S × 0.40) + (C × 0.30) + (T × 0.30) ``` | 组成部分 | 描述 | |---|---| | **S** — 来源可靠性 | 来源的可信度（CISA=100, Feodo=85, ThreatFox=80...） | | **C** — 协同佐证 | 有多少独立来源确认了该IOC | | **T** — 类型严重性 | 对于CVE：NVD的真实CVSS评分。对于IP：AbuseIPDB的评分 | 完整的细分可在侧边抽屉中按IOC审计，并包含参考来源的链接。 ### 自动衰减 IOC的相关性会随时间以不同速率降低，具体取决于类型： | 类型 | 半衰期 | |---|---| | URL | 7天 | | IP | 15天 | | 域名 | 30天 | | 哈希 | 180天 | | CVE | 365天 | 公式：`当前评分 = 原始评分 × e^(−0.693 × 天数 / 半衰期)` ## 技术栈 | 层级 | 技术 | |---|---| | 后端 | Python 3.11 + FastAPI | | 数据库 | PostgreSQL (Render) | | ORM | SQLAlchemy 2.0 | | 编排 | Apache Airflow (每日08:00 UTC运行流水线) | | 部署 | Render (Web服务 + PostgreSQL) | | 监控 | Sentry | | 模板引擎 | Jinja2 | | SIEM集成 | TAXII 2.1 / STIX 2.1 | ## API 平台提供了一个带有API Key认证、文档完备的REST API： ``` # Lookup de um IOC GET /api/lookup/{value} # IOCs paginados com filtros GET /api/iocs?page=1&severity=CRITICAL&type=ip # Contexto completo de um IOC GET /api/iocs/{value}/context # Kill Chain e correlações GET /api/iocs/{value}/campaign # Estatísticas da plataforma GET /api/stats # Feed TAXII 2.1 compatível com Splunk/QRadar GET /taxii/collections/critical/objects/ # Exportação em batch (até 10 IOCs) POST /api/lookup/batch ``` ## SIEM集成 AEGIS以两种格式导出IOC： **CSV SIEM** — 通过仪表板直接选择导出，字段包括： `indicator_type, indicator_value, severity, confidence_score, ioc_status, source, country_code, mitre_tactic, mitre_technique_id, mitre_technique_name, cvss_score, first_seen, last_seen` **TAXII 2.1 / STIX 2.1** — 通过 `/taxii/` 端点提供的兼容Splunk、QRadar和Microsoft Sentinel的数据源。使用UUID5生成确定性ID——相同的IOC始终生成相同的STIX ID。 ## 项目结构 ``` aegis-threat-intelligence/ ├── src/ │ ├── collectors/ # CISA, OTX, ThreatFox, URLhaus, Feodo, AbuseIPDB, MITRE │ ├── processors/ # Normalizer, Classifier, Deduplicator │ ├── storage/ # DatabaseManager, MITRE cache, Shared Workbench │ └── reporters/ # Gerador de relatório HTML ├── templates/ │ └── report.html # Dashboard completo (SPA com 6 abas) ├── assets/ # Logo e arquivos estáticos ├── src/api.py # FastAPI — 15+ endpoints ├── src/main.py # Orquestração do pipeline └── docker-compose.yml # Airflow local ``` ## 关于项目 该项目作为职业转向网络安全期间的作品集项目开发，专注于SOC N1/蓝队和DevSecOps。 AEGIS解决了 **SANS 2025 CTI调查** 中记录的真实问题： - 62%收集的情报未能转化为可操作的行动 - CTI源缺乏自动衰减机制 - N1分析师缺乏战术上下文 - 缺少SOC轮班交接机制 **GitHub:** [github.com/mateusdias96cs/aegis-threat-intelligence](https://github.com/mateusdias96cs/aegis-threat-intelligence) **演示:** [aegiscti.me](https://aegiscti.me)

标签：Active Directory, Apache, AWS, Cloudflare, DPI, IOC管理, Microsoft Sentinel, MITRE ATT&CK, Plaso, QRadar, SIEM集成, 严重性过滤, 交接管理, 全文搜索, 分析员工作台, 威胁建模, 威胁情报, 审计评分, 开发者工具, 开源, 插件系统, 攻击链分析, 数据导出, 测试用例, 网络安全, 自动化流水线, 资产威胁画像, 逆向工具, 隐私保护