zmezmammar/Gmail-Threat-Intel-CyberAgent

# CyberAgent v25.0 — 统一网络防御系统 🛡️✈️ 这是一个企业级、云原生的 **电子邮件取证、威胁情报与自动化事件响应系统**，专为使用 Google Apps Script 的 Gmail 构建。CyberAgent v25.0 充当一个自动化的 **SOAR**（安全编排、自动化和响应）平台——扫描传入流量，分析风险遥测数据，提取真实的基础设施来源，并准备合规的事件响应草稿。 ## 📊 1. 系统如何工作？ | How the System Works? ### العربية: يعمل النظام كحارس أمني ذكي ومؤتمت بالكامل لحماية بريدك الإلكتروني خلال الـ 24 ساعة الماضية عبر 4 مراحل أساسية: 1. **قراءة وتحليل الرسائل (Ingestion & Parsing):** يفحص صندوق الوارد ومجلد الرسائل غير المرغوب فيها (Spam)، ويستخرج الروابط، المرفقات، والنصوص. 2. **محرك تقييم المخاطر (Advanced Risk Engine):** يحلل محتوى الرسالة برمجياً، ويكتشف انتحال العلامات التجارية (Brand Impersonation)، والكلمات العاجلة، مع استبعاد النشرات الإخبارية الموثوقة ذكياً لمنع التنبيهات الكاذبة. 3. **التحليل الجنائي الرقمي (Threat Intelligence):** إذا كانت الرسالة مشبوهة (MEDIUM/HIGH)، يتم استخراج الـ IP الحقيقي للمرسل من الـ Headers وعزله عن خوادم جوجل، ثم فحصه عبر AbuseIPDB، وفحص الروابط عبر VirusTotal. 4. **الاستجابة المؤتمتة (Automated Response):** يسجل التفاصيل في Google Sheet، ويقوم بإنشاء **مسودة تقرير أمني احترافي جاهز** في بريدك لإرساله فوراً للجهات الأمنية العالمية (مثل NCSC و APWG). ### English: CyberAgent v25.0 operates as an automated, non-destructive tactical gateway processing emails from the last 24 hours through a 4-stage pipeline: 1. **Ingestion & Parsing:** Monitors both Inbox and Spam folders, extracting metadata, localized raw bodies, attachments, and URLs. 2. **Heuristic Risk Engine:** Programmatically evaluates metrics such as urgent call-to-actions, credential harvesting patterns, and Brand Impersonation, while dynamically whitelisting trusted infrastructure and marketing platforms (Newsletters). 3. **Forensic Threat Intelligence:** For non-LOW risk profiles, it extracts the true originating sender IP (bypassing Google's proxies), queries AbuseIPDB for multi-report historical confidence, and cross-references external links via VirusTotal. 4. **Orchestrated Incident Response:** Appends full metrics to a secure decentralized SIEM Google Sheet and **automatically builds an actionable, rich cyber incident report draft** addressed to global authorities (NCSC, APWG). #### 🗺️ 统一操作流程图 / مخطط سير العمليات الموحد ## 🛠️ 2. 设置数字环境 | Setting Up the Environment ### العربية: 1. انتقل إلى [Google Sheets](https://sheets.google.com) وأنشئ جدولاً جديداً. 2. انسخ **رابط معرف الجدول (Spreadsheet ID)** من شريط العنوان (الرمز الطويل المتواجد بين `/d/` و `/edit`). 3. من القائمة العلوية، اختر **Extensions** ثم **Apps Script**. 4. استبدل الكود الافتراضي بكود **`Code.gs` (الإصدار v25.0)**. 5. ابحث عن المتغير `LOG_SHEET_ID` في السطر 45 وضَع معرف الجدول الخاص بك مكانه. اضغط على زر **الحفظ (💾)**. ### English: 1. Navigate to [Google Sheets](https://sheets.google.com) and create a new blank spreadsheet. 2. Copy the unique **Spreadsheet ID** from your browser's URL bar (the long alphanumeric string between `/d/` and `/edit`). 3. From the top menu, click **Extensions** ➔ **Apps Script**. 4. Delete all default placeholders and paste the **`Code.gs` (v25.0)** production code. 5. Locate the `LOG_SHEET_ID` constant (Line 45) and paste your copied Spreadsheet ID inside the quotes. Click the **Save (💾)** icon. ## 🔑 3. 启用服务和密钥 | Enabling Services & APIs ### ⚙️ أ. 启用 Gmail API（高级服务） * **العربية:** داخل واجهة Apps Script، انظر للقائمة الجانبية اليسرى، اضغط على زر **(+)** بجانب كلمة **Services**، اختر **Gmail API** واضغط **Add**. (هذا ضروري جداً لتمكين الفحص الجنائي للـ Headers). * **English:** Inside the Apps Script editor sidebar, click the **(+) icon next to Services**, select **Gmail API** from the list, and click **Add**. (Crucial for accessing Advanced Metadata and Header Forensic properties). ### 🔑 ب. 配置密钥（脚本属性） * **العربية:** اذهب إلى إعدادات المشروع ⚙️ (أيقونة الترس الجانبية)، انزل لأسفل إلى **Script Properties**، وأضف المفاتيح التالية: * `VT_KEY` ➔ (مفتاحك الخاص من VirusTotal) * `ABUSE_KEY` ➔ (مفتاحك الخاص من AbuseIPDB) * **English:** Go to **Project Settings ⚙️** (the gear icon on the left), scroll down to **Script Properties**, click **Add script property**, and map your environment credentials: * `VT_KEY` ➔ [Your VirusTotal API Token] * `ABUSE_KEY` ➔ [Your AbuseIPDB API Token] ## 🛡️ 4. 安全模式与预期输出 | Safe Mode & Triage Matrix ### العربية: يتميز النظام بـ **وضع الأمان المطلق (Safe Mode)**: فهو لا يقوم بحذف أي رسائل، ولا يفتح الروابط برمجياً، ولا يرسل إيميلات تلقائية بدون إذنك. يقتصر عمله على فرز وتصنيف الرسائل كالتالي: | فئة المخاطر | الإجراء المتخذ برمجياً | الملصق المضاف (Label) | | :--- | :--- | :--- | | **مخاطر منخفضة / موثوق** | يتم تسجيل البيانات في الجدول فقط لتوثيقها بأمان. | `CyberAgent-Trusted-Logged` | | **مخاطر متوسطة / عالية** | فحص عميق عبر الـ APIs + إنشاء مسودة بلاغ أمني جاهزة للإرسال. | `CyberAgent-Review` | ### English: The system strictly enforces **Safe Mode execution guidelines**: it never automatically sends outbound mail, never deletes records, and never triggers embedded links. It gracefully sorts traffic based on the following automated telemetry: | Risk Profile | Automation Trigger | Applied Retention Label | | :--- | :--- | :--- | | **LOW / Trusted Platform** | Passive telemetry logging inside the spreadsheet for security auditing. | `CyberAgent-Trusted-Logged` | | **MEDIUM / HIGH Risk** | API lookup enrichment + **Generates a full-text threat report draft** in your mailbox. | `CyberAgent-Review` | ``` +-----------------------------------------------------------------------------------+ | [CyberAgent v25.0 Threat Intelligence Draft Report] | | To: report@phishing.gov.uk, reportphishing@apwg.org | | Subject: [CyberAgent v25] HIGH RISK — Urgent Action Required: Account Suspended | | --------------------------------------------------------------------------------- | | Forensics: IP: 185.x.x.x | Abuse Score: 92% | Country: UA | | VirusTotal: 🔴 MALICIOUS | Google Storage Phishing Link Detected | +-----------------------------------------------------------------------------------+ ```

标签：AbuseIPDB集成, FTP漏洞扫描, Gmail, Google Apps Script, Google Sheets, SOAR, VirusTotal集成, 事件报告, 企业级安全, 反欺骗, 合规性报告, 品牌冒充检测, 威胁分析, 威胁情报, 安全编排, 开发者工具, 数字取证, 数据可视化, 深度头部取证, 电子邮件安全, 网络安全, 自动化事件响应, 自动化侦查工具, 自动化响应, 自动化脚本, 自定义脚本, 钓鱼检测, 隐私保护