marinsec/KEV-Analyzer

GitHub: marinsec/KEV-Analyzer

一款用于获取并分析 CISA KEV 目录的命令行工具,帮助 SOC 团队依据漏洞的实际利用情况完成补丁优先级排序和威胁情报富化。

Stars: 0 | Forks: 0

# KEV Analyzer 一款 CLI 工具,用于获取并分析 [CISA 已知被利用漏洞 (KEV)](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) 目录——该列表记录了有证据表明在野外被积极利用的漏洞。可用作漏洞管理优先级排序的输入。 ## 功能说明 - 从 CISA 下载最新的 KEV 目录并将其在本地缓存 - 显示统计数据:总条目数、与勒索软件关联的数量、排名靠前的厂商、按年份细分的分布 - 按勒索软件活动使用情况、时间新旧或搜索词进行过滤 - 将目录与您自己的资产清单进行匹配 - 输出人类可读的文本或 JSON ## 安装说明 需要 [uv](https://docs.astral.sh/uv/)。 ``` git clone https://github.com/marinsec/kev-analyzer.git cd kev-analyzer uv tool install . ``` 这将安装一个全局的 `kev-analyzer` 命令。拉取新更改后,运行 `uv tool install . --force` 进行更新。 ## SOC 使用场景 - 根据积极利用情况优先安排漏洞补丁修补 - 使用 KEV 威胁情报丰富事件调查 - 在告警分诊期间交叉引用检测到的漏洞利用 - 将 KEV 数据接入 SIEM 检测规则 - 追踪与勒索软件相关的漏洞以进行威胁狩猎 ## 示例输出 ``` $ kev-analyzer === CISA KEV Catalog === Total entries: 1,247 Ransomware-linked: 189 (15.2%) Top vendors: Microsoft, Adobe, Cisco, Fortinet, Apple Recent additions (last 14 days): 7 CVE-2024-XXXXX (Fortinet) - RCE CVE-2024-XXXXX (Microsoft) - Elevation of Privilege ... ``` ## MITRE ATT&CK 相关性 KEV 漏洞通常映射到: - T1190 (Exploit Public-Facing Application) - T1210 (Exploitation of Remote Services) - T1068 (Exploitation for Privilege Escalation) ## 用法 ``` kev-analyzer # overview statistics kev-analyzer --ransomware # only ransomware-linked entries kev-analyzer --recent 14 # added in the last 14 days kev-analyzer --search fortinet # filter by vendor/product/name kev-analyzer --inventory inventory.txt # match your asset list kev-analyzer --inventory inventory.txt --ransomware # combine filters kev-analyzer --json # JSON output kev-analyzer --update # refresh data from CISA ``` 首次运行后,目录将被缓存在当前目录的 `kev.json` 文件中。后续运行将从该缓存中读取(快速、离线);使用 `--update` 从 CISA 拉取最新数据。 ## 资产清单 将 `inventory.example.txt` 复制到 `inventory.txt` 并列出您的厂商/产品(每行一个)。`inventory.txt` 已被 gitignore 忽略,因此不会暴露您的环境。 ## 项目结构 - `fetch.py` — 下载并缓存目录 - `parse.py` — 从原始 JSON 中提取相关字段 - `analyze.py` — 计数、过滤、搜索、清单匹配 - `main.py` — CLI 入口点 ## 数据来源 [CISA 已知被利用漏洞目录](https://www.cisa.gov/known-exploited-vulnerabilities-catalog),属于公共领域。
标签:CISA项目, GPT, Python, Web报告查看器, XXE攻击, 威胁情报, 安全运营, 库, 应急响应, 开发者工具, 扫描框架, 文档结构分析, 无后门, 漏洞管理, 逆向工具