w4l1dcode/ossti2sentinel

# ossti2sentinel `ossti2sentinel` 摄取开源威胁情报源，并将标准化的 IOC 记录发送到 Microsoft Sentinel。 ## 数据源 - MalwareBazaar 最近的 SHA256 哈希值 - URLHaus 在线 URL - 已知的恶意 Visual Studio Code 扩展 ID - 已知的恶意浏览器扩展 ID ## 配置 CLI 默认从 `ossti2sentinel.yml` 读取 YAML 配置。可以使用 `-config` 传入其他文件。 ``` log: level: INFO microsoft: app_id: "" secret_key: "" tenant_id: "" subscription_id: "" resource_group: "" workspace_name: "" dcr: endpoint: "" rule_id: "" stream_name: "" ``` 大多数配置也可以通过环境变量提供，包括 `MS_APP_ID`、`MS_SECRET_KEY`、`MS_TENANT_ID`、`MS_SUB_ID`、`MS_DCR_ENDPOINT`、`MS_DCR_RULE` 和 `MS_DCR_STREAM`。 ## 用法 ``` go run ./cmd/... -config=ossti2sentinel.yml ``` 覆盖已配置的日志级别： ``` go run ./cmd/... -config=ossti2sentinel.yml -log=debug ``` ## 开发 ``` go test ./... go build -o ossti2sentinel ./cmd/... ``` ## 参考 - https://github.com/mthcht/awesome-lists/tree/main/Lists - https://bazaar.abuse.ch/browse/ - https://urlhaus.abuse.ch

标签：EVTX分析, Go, Microsoft Sentinel, Retryablehttp, Ruby工具, 命令控制, 威胁情报, 开发者工具, 数据采集, 日志审计