Rishik20055/SOC-incident-response-automated-Dashboard
GitHub: Rishik20055/SOC-incident-response-automated-Dashboard
一款基于 Python 的 SOC 安全事件分析自动化 CLI 工具,聚合多个威胁情报平台 API,帮助分析师在统一终端中完成 IOC 调查、信誉检查与威胁情报共享。
Stars: 0 | Forks: 0
# 安全事件检测与分析自动化工具
**作者:** Pothineni Rishik
## 📖 概述
**安全事件分析自动化工具** 是一款基于 Python 的综合 CLI 应用程序,旨在作为安全运营中心 (SOC) 分析师的自动化助手。它通过集成多个顶级的威胁情报 API,简化了针对可疑的妥协指标 (IOC) 的调查和验证流程。
无需手动查询多个数据库,该工具允许您从单一的终端界面执行深度侦察、信誉检查以及 IOC 消毒处理。
## ✨ 功能
该工具提供了一个包含 7 项核心安全服务的交互式菜单:
1. **信誉/黑名单检查:** 立即在 VirusTotal、AbuseIPDB、URLScan.io 和 AlienVault OTX 中查询 IP、域名、URL 和哈希,以确定它们是否为恶意的。
2. **DNS/WHOIS 查询:** 使用 Spyse 和 IPWhois 对域名执行深度侦察,包括子域名、自治系统号 (ASN) 和注册商详细信息。
3. **邮件安全(钓鱼分析):** 针对 `emailrep.io` 分析可疑的发件人电子邮件地址,以检测一次性电子邮件、近期的数据泄露或正在进行的钓鱼活动。
4. **URL 解码:** 轻松解包并解码攻击者通常用来隐藏恶意目的地的混淆或编码 URL(例如,Base64、URL 编码)。
5. **文件上传沙箱化:** 选择本地文件以自动生成其 MD5 哈希,并在不执行恶意软件的情况下在 VirusTotal 上检查其信誉。
6. **IOC 消毒处理:** 对恶意链接和 IP 进行“去武器化”(例如,将 `http://malicious.com` 转换为 `hxxp://malicious[.]com`),以便它们可以在报告或电子邮件中安全共享,防止被意外执行。
7. **品牌监控与分析:** 查询 URLScan.io 以寻找针对特定品牌名称的域名抢注(typosquatting)或钓鱼基础设施。
## ⚙️ 前置条件
- Python 3.x
- 来自以下威胁情报平台的免费 API 密钥(可选,但建议配置以实现完整功能):
- [VirusTotal](https://www.virustotal.com/)
- [AbuseIPDB](https://www.abuseipdb.com/)
- [URLScan.io](https://urlscan.io/)
- [AlienVault OTX](https://otx.alienvault.com/)
- [Spyse](https://spyse.com/)
- [EmailRep.io](https://emailrep.io/)
## 🚀 安装说明
1. **克隆仓库并进入该目录:**
cd "Security Analysis Automation"
2. **创建并激活虚拟环境(推荐):**
# Windows
py -m venv venv
.\venv\Scripts\Activate.ps1
# Linux/Mac
python3 -m venv venv
source venv/bin/activate
3. **安装所需的依赖项:**
pip install -r Requirements.txt
## 🔐 配置
该应用程序使用 `.env` 文件来安全管理您的 API 密钥。
1. 在根目录下创建一个名为 `.env` 的文件。
2. 使用以下格式添加您的 API 密钥:
```
VIRUSTOTAL_API_KEY=your_virustotal_key
ABUSEIPDB_API_KEY=your_abuseipdb_key
URLSCANIO_API_KEY=your_urlscan_key
ALIENVAULT_API_KEY=your_alienvault_key
SPYSE_API_KEY=your_spyse_key
EMAILREP_API_KEY=your_emailrep_key
```
*注意:如果您没有特定服务的密钥,可以将其值设置为 `skip` 或 `none`。该工具会妥善处理缺失的密钥,尽管这些特定的扫描不会返回数据。*
## 💻 用法
运行主脚本以启动交互式工具:
```
python main_file.py
```
请按照屏幕上的提示选择您希望使用的安全模块,并输入您的妥协指标 (IOC)。
*免责声明:本工具仅供教育和专业网络安全分析目的使用。请勿将此工具用于未经授权的访问,或扫描您不拥有或未获得明确测试许可的基础设施。*
标签:IOC分析, Python, 威胁情报, 安全运营, 开发者工具, 扫描框架, 文档结构分析, 无后门, 自动化分析, 跨站脚本, 逆向工具