rs-lamichhane/threat-intel-parser
GitHub: rs-lamichhane/threat-intel-parser
该工具将 STIX2 格式的威胁情报订阅源自动解析并转换为 Elastic Security 和 SentinelOne 等 SIEM 平台可直接导入的检测规则。
Stars: 0 | Forks: 0
# Threat Intel Parser (STIX2 到 SIEM)
一款 Python 实用工具,用于解析原始的 Threat Intelligence 订阅源(如 OpenCTI STIX2 指标),并将其转换为可操作、格式化的规则,以便直接导入到 **Elastic Security** 和 **SentinelOne** 等 SIEM 平台。
## 目的
该工具展示了在 SOC 环境中的数据工程和自动化能力。它弥补了原始威胁情报与自动化事件响应基础设施之间的空白。
## 功能
* **模式匹配:** 提取 IOC(失陷标示),例如恶意 IP 和 SHA-256 文件哈希。
* **严重性映射:** 自动将 STIX 置信度分数映射到 SIEM 严重性级别(MEDIUM、HIGH、CRITICAL)。
* **Pipeline 导出:** 导出结构化的 JSON,以便通过 Elastic SIEM 的批量导入 API 进行处理。
## 用法
```
python3 src/parser.py
```
标签:Python, 威胁情报, 安全运营, 开发者工具, 扫描框架, 数据工程, 无后门, 逆向工具