SaiChaitanya1313/IOCSentinel

GitHub: SaiChaitanya1313/IOCSentinel

基于 Python 的命令行威胁情报工具，通过集成多个情报源实现 IOC 的自动化验证、富化、分类与报告导出。

Stars: 1 | Forks: 0

# IOCSentinel — 威胁情报自动化工具 IOCSentinel 是一个基于 Python 的命令行威胁情报工具，旨在自动化验证、富化和分类入侵指标（IOC）。通过集成多个威胁情报源（如 VirusTotal、AbuseIPDB 和 URLScan），它支持 IP、域名、URL 和文件哈希，从而简化 IOC 的分诊和报告。 ## 功能 * **单个 IOC 查询** 交互式检查单个 IOC。 * **批量 IOC 分析** 从 `.txt` 文件中处理多个 IOC。 * **原始 IOC 提取** 自动从电子邮件、日志或威胁报告中提取 IOC。 * **多源威胁情报富化** * VirusTotal * AbuseIPDB * URLScan * **严重性评分** 将威胁分类为： * 低 * 中 * 高 * 紧急 * **MITRE ATT&CK 映射** 将恶意 IOC 映射到相关的 ATT&CK 技术。 * **缓存支持** 防止对重复的 IOC 发起重复的 API 调用。 * **多格式报告** 导出报告格式： * CSV * JSON * HTML ## 支持的 IOC 类型 | IOC 类型 | 支持的来源 | | ---------- | --------------------- | | IP 地址 | VirusTotal, AbuseIPDB | | 域名 | VirusTotal | | URL | VirusTotal, URLScan | | MD5 | VirusTotal | | SHA1 | VirusTotal | | SHA256 | VirusTotal | ## 项目结构 ``` IOCSentinel/ │── iocsentinel.py │── severity.py │── mitre_mapper.py │── json_export.py │── html_report.py │── urlscan_checker.py │── config.example.py │── requirements.txt │── README.md │── .gitignore ``` ## 安装说明克隆仓库： ``` git clone https://github.com/SaiChaitanya1313/IOCSentinel.git cd IOCSentinel ``` 安装依赖： ``` pip install -r requirements.txt ``` ## 配置创建 `config.py` 文件： ``` VIRUSTOTAL_API_KEY = "your_key_here" ABUSEIPDB_API_KEY = "your_key_here" URLSCAN_API_KEY = "your_key_here" ``` ## 使用说明运行工具： ``` python iocsentinel.py ``` 选择模式： ### 模式 1 — 单个 IOC 检查交互式分析单个 IOC。 ### 模式 2 — 批量 IOC 检查从 `.txt` 文件分析多个 IOC。示例： ``` 185.220.101.45 malware-domain.com 44d88612fea8a8f36de82e1278abb02f ``` ### 模式 3 — 原始 IOC 提取粘贴日志、钓鱼邮件或报告以自动提取 IOC。 ## 示例输出 ``` IOC: 185.220.101.45 Type: IP VirusTotal: 17 malicious detections AbuseIPDB Score: 100% Severity: CRITICAL MITRE: T1071 - Application Layer Protocol Verdict: MALICIOUS ``` ## 使用场景 * 威胁狩猎 * 钓鱼分析 * IOC 分诊 * 恶意软件分析 * 事件响应 * 安全自动化 ## API 速率限制 VirusTotal 免费 API 允许**每分钟 4 次请求**。该工具在批量扫描期间会自动执行延迟，以避免触发速率限制。 ## 未来改进 * Shodan 集成 * GeoIP 富化 * PDF 报告 * 威胁情报源摄取 * IOC 信誉历史追踪 ## 工具与 API * VirusTotal API v3 * AbuseIPDB API v2 * URLScan API ## 作者 K Sai Chaitanya 专注于安全运营、威胁情报、渗透测试和安全自动化。 GitHub: [SaiChaitanya1313](https://github.com/SaiChaitanya1313) LinkedIn: [Sai Chaitanya Kondapalli](https://www.linkedin.com/in/sai-chaitanya-kondapalli-b7034325a)

标签：AMSI绕过, DNS 反向解析, IOC分析, IP 地址批量处理, Python, 威胁情报, 威胁检测, 开发者工具, 无后门, 网络信息收集, 网络调试, 自动化, 逆向工具, 配置审计