4r050c/JYOTHI-SOC
GitHub: 4r050c/JYOTHI-SOC
一款基于浏览器的 SOC 自动化批量 IOC 信誉检查工具,通过 Cloudflare Worker 代理安全调用多个威胁情报源实现快速分诊。
Stars: 0 | Forks: 0
# 批量扫描器 — Domains, Hashes & IPs
一款基于浏览器的 SOC 自动化工具,通过安全的 Cloudflare Worker 代理利用多个威胁情报源,对 **IPs**、**文件 hashes**、**domains** 和 **URLs** 执行批量信誉检查。专为需要快速进行 IOC 分诊且不希望将 API keys 暴露给浏览器的 SOC 分析师、威胁猎人、DFIR 团队和应急响应人员而设计。
链接:
```
screenshots/
```
├── ip-scanner
├── hash-scanner.png
├── domain-scanner + vt-widge
```
---
## 支持的 Threat Intelligence Sources
| Source | Purpose |
| -------------- | ------------------------------- |
| VirusTotal | Domain, URL and Hash reputation |
| AbuseIPDB | IP reputation |
| MalwareBazaar | Malware hash intelligence |
| AlienVault OTX | Community threat intelligence |
---
## Architecture
```text
Browser
│
▼
Cloudflare Worker
│
├── VirusTotal API
├── AbuseIPDB API
├── MalwareBazaar API
└── AlienVault OTX API
```
浏览器仅与 Cloudflare Worker 通信。Worker 会注入所需的 API keys,并将请求转发到相应的服务。
## Cloudflare Worker 要求
创建以下 Worker secrets:
```
VT_API_KEY
ABUSEIPDB_KEY
```
Worker 应该:
* 接受 GET 和 POST 请求
* 在服务端注入 API keys
* 移除客户端提供的身份验证 headers
* 在启用 CORS 的情况下返回 API 响应
## 安装说明
### 1. 克隆仓库
```
git clone https://github.com/yourusername/bulk-scanner.git
cd bulk-scanner
```
### 2. 部署 Cloudflare Worker
配置:
```
VT_API_KEY=
ABUSEIPDB_KEY=
```
部署 Worker 并复制其 URL。
示例:
```
https://your-worker.workers.dev/
```
### 3. 配置 Worker URL
打开应用程序并输入:
```
https://your-worker.workers.dev/
```
在 **Worker URL** 字段中。
## 使用方法
### 批量 IP 扫描
1. 粘贴 IPv4 地址
2. 点击 **Scan IPs**
3. 查看判定结果
4. 如果需要,将结果导出为 CSV
示例:
```
8.8.8.8
1.1.1.1
185.220.101.1
```
### 批量 Hash 扫描
粘贴 hashes 或包含 hashes 的原始文本:
```
44d88612fea8a8f36de82e1278abb02f
275a021bbfb648f4b5baf13f2fcbfd0c8f9f7f3a
```
扫描器会自动:
* 提取 hashes
* 去除重复项
* 查询多个情报来源
* 显示综合判定结果
### Domain 扫描
```
example.com
evil-domain.com
```
### URL 扫描
```
https://example.com/file.exe
https://suspicious-site.com/login
```
## 判定逻辑
### IP 信誉
| 评分 | 判定 |
| ----- | ---------------- |
| 0-4 | 安全 |
| 5-79 | 恶意 |
| 80+ | 极度恶意 |
### Hash 信誉
如果出现以下情况,hash 将被标记为恶意:
* VirusTotal 报告了恶意检测
* MalwareBazaar 包含该样本
* AlienVault OTX 报告了显著的恶意活动
否则它将被标记为:
```
Known / Clean
```
或
```
Not Found
```
## SOC 使用场景
### 应急响应
* 验证可疑的 IPs
* 检查恶意软件 hashes
* 调查警报中的 domains
### 威胁狩猎
* 批量 IOC 丰富
* 情报关联
* 快速分诊
### DFIR
* 工件验证
* 恶意软件识别
* 调查期间的 IOC 丰富
### 电子邮件安全
* URL 信誉检查
* Domain 验证
* 恶意附件 hash 分析
## 优势
✅ 针对多种 IOC 类型的统一界面
✅ 浏览器中不暴露 API keys
✅ 多源情报关联
✅ 支持批量处理
✅ 对 SOC 友好工作流
✅ CSV 导出功能
✅ 轻量且可移植
## 未来增强功能
* VirusTotal 关系分析
* WHOIS 丰富
* GeoIP 可视化
* IOC 时间线导出
* YARA 查询集成
* 威胁行为者归属
* IOC 报告生成(PDF)
## 免责声明
此工具旨在用于防御性安全、威胁狩猎、应急响应、DFIR 和 SOC 操作。在采取补救措施之前,请始终通过多个情报来源验证发现的结果。
## 作者
**jyothi Raj V**
SOC 分析师 | 威胁猎人 | 安全自动化开发者
*“将重复的 SOC 任务转化为一键式工作流。”*
```
screenshots/
```
├── ip-scanner
├── hash-scanner.png
├── domain-scanner + vt-widge
```
---
## 支持的 Threat Intelligence Sources
| Source | Purpose |
| -------------- | ------------------------------- |
| VirusTotal | Domain, URL and Hash reputation |
| AbuseIPDB | IP reputation |
| MalwareBazaar | Malware hash intelligence |
| AlienVault OTX | Community threat intelligence |
---
## Architecture
```text
Browser
│
▼
Cloudflare Worker
│
├── VirusTotal API
├── AbuseIPDB API
├── MalwareBazaar API
└── AlienVault OTX API
```
浏览器仅与 Cloudflare Worker 通信。Worker 会注入所需的 API keys,并将请求转发到相应的服务。
## Cloudflare Worker 要求
创建以下 Worker secrets:
```
VT_API_KEY
ABUSEIPDB_KEY
```
Worker 应该:
* 接受 GET 和 POST 请求
* 在服务端注入 API keys
* 移除客户端提供的身份验证 headers
* 在启用 CORS 的情况下返回 API 响应
## 安装说明
### 1. 克隆仓库
```
git clone https://github.com/yourusername/bulk-scanner.git
cd bulk-scanner
```
### 2. 部署 Cloudflare Worker
配置:
```
VT_API_KEY=标签:IOC检测, SOC自动化, 后端开发, 多模态安全, 威胁情报, 安全运营, 开发者工具, 扫描框架, 数据可视化, 程序员工具