BL3IP/threat-intel-brief
GitHub: BL3IP/threat-intel-brief
一款零依赖的 Python 威胁情报自动化工具,将多源 IOC feed 聚合为带恶意软件家族排名和来源归属的每日威胁简报。
Stars: 0 | Forks: 0
# 09 — 威胁情报自动化(每日简报)
将 IOC feed 数据聚合为自动化的**每日威胁简报** —— 按类型/来源统计的数量、热门恶意软件家族以及最新指标 —— 这正是 CTI 分析师每天早上会发送的那种摘要。
## 目标
自动化威胁情报中重复性的部分:接入指标 feed 并生成一致、可共享的简报,以便随时用于后续的 enrichment + 检测 pipeline。
## 包含内容
| 路径 | 内容说明 |
|------|-----------|
| [`ti_brief.py`](./ti_brief.py) | Feed 解析器 + 简报生成器(零依赖) |
| [`samples/feed.csv`](./samples/feed.csv) | 示例 IOC feed(类型、值、恶意软件、首次发现时间、来源) |
| [`reports/daily-brief.md`](./reports/daily-brief.md) | 生成的简报(验证证明) |
## 精确的安装命令
```
cd C:\Users\banlv\cyber\09-threat-intel
& "C:\Users\banlv\AppData\Local\Programs\Python\Python312\python.exe" -m venv .venv
.\.venv\Scripts\python.exe -m pip install pytest
.\.venv\Scripts\python.exe -m pytest -q
.\.venv\Scripts\python.exe ti_brief.py --date 2026-06-28
```
## 运行效果证明
**4/4 测试通过。** 生成的简报摘要:
```
15 IOCs | types {'url': 4, 'domain': 4, 'ip': 4, 'sha256': 2, 'md5': 1}
top [('AgentTesla', 4), ('Qakbot', 3), ('CobaltStrike', 3)]
```
该简报 ([`reports/daily-brief.md`](./reports/daily-brief.md)) 会对恶意软件家族进行排名,并列出带有来源归属的最新指标。
## 截图
请查看 [`./screenshots/`](./screenshots)。添加内容包括:渲染后的 `daily-brief.md` 以及工具摘要行。
## 我的自定义扩展
- **可复现、数据驱动**的简报(替换 CSV 文件后重新生成即可) —— 绝非一次性的报告。
- 来源归属 + 恶意软件家族排名,真实模拟了实际的 CTI feed(URLhaus、Feodo、MalwareBazaar、OTX)。
- 专为链式处理设计:指标值 → `iocsift` (enrich/refang) → 检测 pipeline (项目 07)。
## 简历要点
- 开发了一款**威胁情报自动化**工具,它通过经过测试的解析器,将多来源的 IOC feed 聚合为带有排名的每日简报(涵盖恶意软件家族、指标类型、最新 IOC)。
- 结构化的输出,可无缝集成至 IOC enrichment 和 detection-as-code pipeline 中。
- 模拟了真实的 CTI feed 格式(URLhaus / Feodo / MalwareBazaar / OTX),以实现真实的分流处理。
## 进阶想法
- 定时在线获取免费 feed(URLhaus/Feodo CSV);并与历史记录进行去重。
- 添加本地 LLM(或 Groq)来生成当日威胁的叙述性摘要。
- 推送至 MISP/OpenCTI (Docker),并自动通过电子邮件/Slack 发送简报。
状态: ✅ 完成并已测试
```
✅ PROJECT COMPLETE & FULLY TESTED in its isolated folder. All works. Ready for portfolio.
```
标签:IOC聚合, Python, 代码示例, 威胁情报, 安全规则引擎, 开发者工具, 数据分析, 无后门, 逆向工具, 防御加固