marinsec/KEV-Analyzer
GitHub: marinsec/KEV-Analyzer
一款用于获取并分析 CISA KEV 目录的命令行工具,帮助 SOC 团队依据漏洞的实际利用情况完成补丁优先级排序和威胁情报富化。
Stars: 0 | Forks: 0
# KEV Analyzer
一款 CLI 工具,用于获取并分析 [CISA 已知被利用漏洞 (KEV)](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) 目录——该列表记录了有证据表明在野外被积极利用的漏洞。可用作漏洞管理优先级排序的输入。
## 功能说明
- 从 CISA 下载最新的 KEV 目录并将其在本地缓存
- 显示统计数据:总条目数、与勒索软件关联的数量、排名靠前的厂商、按年份细分的分布
- 按勒索软件活动使用情况、时间新旧或搜索词进行过滤
- 将目录与您自己的资产清单进行匹配
- 输出人类可读的文本或 JSON
## 安装说明
需要 [uv](https://docs.astral.sh/uv/)。
```
git clone https://github.com/marinsec/kev-analyzer.git
cd kev-analyzer
uv tool install .
```
这将安装一个全局的 `kev-analyzer` 命令。拉取新更改后,运行 `uv tool install . --force` 进行更新。
## SOC 使用场景
- 根据积极利用情况优先安排漏洞补丁修补
- 使用 KEV 威胁情报丰富事件调查
- 在告警分诊期间交叉引用检测到的漏洞利用
- 将 KEV 数据接入 SIEM 检测规则
- 追踪与勒索软件相关的漏洞以进行威胁狩猎
## 示例输出
```
$ kev-analyzer
=== CISA KEV Catalog === Total entries: 1,247 Ransomware-linked: 189 (15.2%) Top vendors: Microsoft, Adobe, Cisco, Fortinet, Apple
Recent additions (last 14 days): 7
CVE-2024-XXXXX (Fortinet) - RCE
CVE-2024-XXXXX (Microsoft) - Elevation of Privilege ...
```
## MITRE ATT&CK 相关性
KEV 漏洞通常映射到:
- T1190 (Exploit Public-Facing Application)
- T1210 (Exploitation of Remote Services)
- T1068 (Exploitation for Privilege Escalation)
## 用法
```
kev-analyzer # overview statistics
kev-analyzer --ransomware # only ransomware-linked entries
kev-analyzer --recent 14 # added in the last 14 days
kev-analyzer --search fortinet # filter by vendor/product/name
kev-analyzer --inventory inventory.txt # match your asset list
kev-analyzer --inventory inventory.txt --ransomware # combine filters
kev-analyzer --json # JSON output
kev-analyzer --update # refresh data from CISA
```
首次运行后,目录将被缓存在当前目录的 `kev.json` 文件中。后续运行将从该缓存中读取(快速、离线);使用 `--update` 从 CISA 拉取最新数据。
## 资产清单
将 `inventory.example.txt` 复制到 `inventory.txt` 并列出您的厂商/产品(每行一个)。`inventory.txt` 已被 gitignore 忽略,因此不会暴露您的环境。
## 项目结构
- `fetch.py` — 下载并缓存目录
- `parse.py` — 从原始 JSON 中提取相关字段
- `analyze.py` — 计数、过滤、搜索、清单匹配
- `main.py` — CLI 入口点
## 数据来源
[CISA 已知被利用漏洞目录](https://www.cisa.gov/known-exploited-vulnerabilities-catalog),属于公共领域。
标签:CISA项目, GPT, Python, Web报告查看器, XXE攻击, 威胁情报, 安全运营, 库, 应急响应, 开发者工具, 扫描框架, 文档结构分析, 无后门, 漏洞管理, 逆向工具