ibraim-marinos/threat-intelligence-enrichment-lab

# 威胁情报富化实验 ## 项目概述 本项目记录了在 Home SOC Lab 实验期间执行的一次威胁情报富化调查。 在识别到可疑的 PowerShell 下载告警后，本次调查正式启动。通过开源威胁情报平台对多个指标进行了提取和富化，以确定该活动是否与已知的恶意基础设施有关。 ## 目标 * 调查可疑的失陷指标 (IOC) * 执行威胁情报富化 * 关联多个情报来源的调查结果 * 评估风险并记录结论 * 模拟真实的 SOC Tier 1 调查工作流 ## 使用的技术 * Splunk * VirusTotal * AbuseIPDB * URLHaus * MalwareBazaar * Windows 事件日志 * PowerShell 日志 ## 调查工作流 ``` Alert Detection ↓ IOC Extraction ↓ IP Reputation Analysis ↓ Domain Reputation Analysis ↓ File Hash Analysis ↓ Threat Intelligence Correlation ↓ Risk Assessment ↓ Final Verdict ``` ## 关键发现 ### IP 分析 * VirusTotal：未检测到恶意记录 * AbuseIPDB：未发现滥用报告 * 评估：低风险 ### 域名分析 * VirusTotal：多家厂商检测命中 * URLHaus：被列为恶意软件分发基础设施 * 评估：高风险 ### 文件哈希分析 * VirusTotal：19/66 命中率 * 确认为 Android 银行木马活动 * 与 Mamont 恶意软件家族相关 * 评估：恶意 ### MalwareBazaar * 未找到匹配样本 * 该结果未改变整体评估 ## 调查截图 | 来源 | 证据 | | ------------- | --------------------------------- | | VirusTotal | IP 信誉分析 | | AbuseIPDB | 社区滥用验证 | | VirusTotal | 域名信誉分析 | | URLHaus | 恶意软件基础设施验证 | | VirusTotal | 文件哈希调查 | | MalwareBazaar | 恶意软件样本库验证 | ## 展示技能 * 威胁情报富化 * IOC 分析 * 安全调查 * 恶意软件研究 * 威胁关联 * 风险评估 * 安全报告 * SOC 分析师工作流 ## 仓库结构 ``` screenshots/ investigation/ report/ README.md ``` ## 最终结论 在关联了所有情报来源后，这些指标被评估为恶意，且符合恶意软件投递活动特征。 本次调查展示了如何将多个威胁情报平台结合使用，以支持基于证据的安全决策。

标签：威胁情报, 安全运营, 开发者工具, 扫描框架, 数字取证, 自动化脚本