AT-14/SOC-L1-Triage-Assistant

# 自动化威胁情报IOC分类管道 一种基于Python的自动化工程管道，旨在解析非结构化数据构件、提取唯一威胁指标（IOC）、聚合多源信誉度量，并输出统一、可供分类的威胁评估报告。 ## 🛠️ 项目核心能力 * **自动化日志解析**：从杂乱的技术输入中提取多类型指标（IP、域名、URL、文件哈希和电子邮件）。 * **多源信誉增强**：同时对接**VirusTotal**和**AbuseIPDB** API框架。 * **内部性能优化**：采用防御性验证逻辑，自动绕过内部企业基础设施（RFC 1918私有地址范围）的查询API限制，并通过关联邮件域名来节省API配额度量。 * **分析风险矩阵执行**：在专用评估引擎中采用自定义“最高优先级”分类算法，将复杂的威胁向量提炼为单一、优先级的分类级别（`HIGH`、`MEDIUM`、`LOW`或`UNKNOWN`）。 ## 📁 仓库架构 ``` ├── analyzers/ │ ├── __init__.py │ └── risk_analyzer.py # Triage decision matrix calculation matrix ├── enrichers/ │ ├── __init__.py │ ├── abuseipdb.py # Connects to AbuseIPDB API engine │ └── virustotal.py # Connects to VirusTotal API engine ├── extractors/ │ ├── __init__.py │ └── ioc_extractor.py # Extracts IPs, hashes, and domains from logs ├── output/ │ └── csv_report.csv # Generated triage results ├── reports/ │ ├── __init__.py │ └── csv_report.py # Compiles standardized scannable spreadsheets ├── samples/ │ └── sample_log.txt # Test log file containing sample IOCs ├── .env.example # Blueprint configuration file for credentials ├── .gitignore # Shields caches, logs, and private keys from Git ├── main.py # Pipeline orchestration hub ├── README.md # Project documentation └── requirements.txt # Python dependencies (requests, etc.) ```

标签：AbuseIPDB, API集成, Ask搜索, CSV报告, IOC提取, Python, VirusTotal, 企业内部网络过滤, 可观测性, 多源信誉聚合, 威胁情报, 威胁评估, 安全运营, 开发者工具, 扫描框架, 无后门, 日志解析, 模块化设计, 自动化修复, 证书伪造, 逆向工具, 风险评分