anjaliguptaa101-glitch/threat-intel-platform

# 本地威胁情报与 SIEM 关联框架 这是一个本地化的网络威胁情报（CTI）pipeline，旨在摄取公开威胁情报源、标准化 indicator 数据、模拟网络日志流量，并基于已知的妥协指标自动生成告警。 ## 技术栈 * **语言：** Python 3 * **数据库与可视化：** Elasticsearch 与 Kibana（通过 Docker 部署的 ELK Stack） * **环境架构：** Docker Desktop ## 工作原理 1. `docker-compose.yml` 启动一个未加密的 Elasticsearch 数据库和 Kibana 控制台。 2. `ingest_threats.py` 从 AbuseIPDB 开源情报源获取真实的恶意 IP，并将它们索引到 Elasticsearch 中。 3. `simulate_network.py` 生成虚拟的网络流量日志，间歇性地注入已知的恶意 IP，以模拟企业网络遭受到的实时入侵。 4. `run_siem_alerts.py` 作为一个轻量级的 SIEM 关联引擎，将网络日志与威胁 indicator 进行交叉比对，从而触发即时的高优先级告警。

标签：Docker, Elasticsearch, Python, 威胁情报, 安全日志分析, 安全运营, 安全防御评估, 开发者工具, 扫描框架, 无后门, 请求拦截, 越狱测试