1NobleCyber/ThreatFeed

# ThreatFeed ThreatFeed 是一个专为托管、管理和将外部威胁情报源集成到 Google Chronicle (Google SecOps) 及其他平台而设计的代码库。它提供了一个自动化工作流，用于从该代码库拉取原始指标列表，并将其填充为 Chronicle 中的 Reference Lists，同时附带相应的 YARA-L 规则，以便根据这些源立即开始检测恶意活动。 ## 代码库内容 - **`import_threat_feeds_to_chronicle.py`**：一个 Python 自动化脚本，使用 Google Cloud 服务账号对 Google Chronicle API 进行身份验证。它从该 GitHub 代码库中指定的子文件夹（例如 `Afraid_org`）获取 `raw.csv` 文件，并在您的 Chronicle 实例中创建或更新 Reference Lists。 - **`threat_intel_domain_blocklist.yaral`**：一个 Chronicle YARA-L 检测规则，用于监控网络遥测数据（DNS 查询、HTTP 请求和网络连接）。它会根据您导入的 Reference Lists（例如 `%Afraid_org` 或 `%malicious_threat_intel_domains`）检查目标主机名，并在发生匹配时触发 High 严重性警报。 - **`Afraid_org/`**：一个示例威胁源目录，包含： - `raw.csv`：供 Python 脚本提取到 Chronicle 中的恶意域名/指标原始列表。 - `iBoss-Afraid_org.csv`：专供 iBoss Secure Web Gateways 使用的格式化源版本。 ## 入门指南 ### 1. 配置导入脚本 在运行导入脚本之前，您必须编辑 `import_threat_feeds_to_chronicle.py` 以配置您的环境： - 将包含 `raw.csv` 文件的目标子文件夹添加到 `SUBFOLDERS_TO_IMPORT` 中（例如 `"Afraid_org"`）。 - 在 `SERVICE_ACCOUNT_FILE` 中指定您的 Google Cloud 服务账号凭证 JSON 的路径。 - 根据您的 Chronicle 环境设置 `CHRONICLE_API_BASE_URL` 和 `CHRONICLE_INSTANCE_PREFIX`。 - （可选）如果您的代码库是私有的，请提供 `GITHUB_PAT`。 ### 2. 安装前置条件 确保您已安装所需的 Python 库： ``` pip install requests google-auth ```

标签：Google Chronicle, IP 地址批量处理, PB级数据处理, Python, YARA-L, 威胁情报, 安全运维, 开发者工具, 无后门, 自动化集成, 逆向工具