nawazahmad/IOC-Extrator-and-Query-Generator
GitHub: nawazahmad/IOC-Extrator-and-Query-Generator
一款纯浏览器端的轻量级威胁情报处理工具,能从非结构化文本中自动提取各类妥协指标并生成多平台SIEM狩猎查询。
Stars: 0 | Forks: 0
# IOC 提取器与查询生成器
一款轻量级的客户端威胁狩猎工具,能够从威胁情报报告、事件响应笔记、供应商安全通告以及恶意软件分析中提取妥协指标 (IOC),并自动为多个安全平台生成可直接使用的狩猎查询。
该应用专为安全运营中心 (SOC) 分析师、事件响应人员、威胁猎人、DFIR 专业人士以及安全工程师设计,帮助他们快速将威胁情报转化为实际操作。
## 功能
### 自动提取 IOC
粘贴任何威胁报告或事件笔记,即可自动提取:
* IPv4 地址
* IPv6 地址
* 域名
* URL
* 电子邮件地址
* MD5 哈希
* SHA1 哈希
* SHA256 哈希
* CVE
* MITRE ATT&CK 技术 ID
解析器还会自动还原常见的威胁情报脱敏格式,例如:
```
hxxp://
hxxps://
[.]
(dot)
[at]
```
使其能够兼容大多数安全供应商发布的报告。
## 生成的狩猎查询
该工具会自动为以下平台生成狩猎查询:
### Splunk SPL
* 网络 IOC 搜索
* 文件哈希搜索
* 漏洞暴露搜索
* ATT&CK 检测覆盖
* 资产关联示例
### Microsoft Defender XDR (KQL)
* DeviceNetworkEvents
* DeviceFileEvents
* DeviceTvmSoftwareVulnerabilities
* EmailEvents
### Tenable
* CVE 过滤示例
### Tanium
* 资产暴露问题
* 文件哈希搜索
* 漏洞查询
## MITRE ATT&CK 支持
该应用程序会提取 MITRE ATT&CK 技术 ID(例如 `T1059.001`),并具备以下功能:
* 显示易懂的技术名称
* 直接链接到官方的 MITRE ATT&CK 文档
* 将邻近的 ATT&CK 技术与所引用的 CVE 进行关联(仅基于文本邻近度)
* 为 Splunk 生成 ATT&CK 覆盖查询
## CISA KEV 集成
可选择对 CISA 已知被利用漏洞 (KEV) 目录进行实时查询。
功能包括:
* 标记已知被利用的 CVE
* 指示正在被主动利用的漏洞
* 仅在启用时运行
* 使用托管在 GitHub 上的官方 CISA KEV JSON
不会传输任何其他报告数据。
## 外部威胁情报链接
每个提取出的 IOC 都包含指向常见威胁情报资源的快速链接,例如:
* VirusTotal
* AbuseIPDB
* Shodan
* urlscan.io
* NVD
* CVE.org
* MITRE ATT&CK
这使得分析师能够直接转向获取更多情报。
## 导出功能
该应用程序支持:
* 复制单个狩猎查询
* 复制所有提取的 IOC
* 导出 Markdown IOC 摘要
* 剪贴板集成
## 隐私
该应用程序完全在您的浏览器中运行。
任何粘贴的威胁报告或事件数据都不会离开您的设备。
唯一的可选网络请求是:
* CISA 已知被利用漏洞目录
如果禁用 KEV 检查,该应用程序将完全在离线状态下运行。
## 典型工作流
1. 粘贴威胁情报报告。
2. 点击 **Extract Indicators**。
3. 审查提取的 IOC。
4. 使用外部情报链接验证指标。
5. 复制生成的 Splunk 或 Defender 狩猎查询。
6. 在企业遥测数据中进行狩猎。
7. 导出 IOC 摘要以用于记录文档或分享。
## 示例输入
```
Observed communication to:
hxxps://malicious-update[.]net
185[.]220[.]101[.]45
SHA256:
275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0
CVE-2024-21887
T1059.001
```
该工具会自动提取指标、还原脱敏的值、生成狩猎查询,并突出显示任何已知被利用的漏洞。
## 使用的技术
* HTML5
* CSS3
* 原生 JavaScript
* Clipboard API
* Fetch API
* 客户端正则表达式
无需任何框架或构建工具。
## 项目初衷
威胁情报报告通常需要分析师手动进行以下操作:
* 识别指标
* 还原脱敏的值
* 构建 SIEM 查询
* 研究 CVE
* 映射 MITRE ATT&CK 技术
* 检查企业暴露面
该工具将这些重复性任务自动化,使分析师能够在几秒钟内从情报获取转入威胁狩猎阶段。
## 许可证
MIT License
可根据许可证条款自由使用、修改和分发本项目。
## 作者
**Nawaz Ahmad**
网络安全爱好者 | CISSP | CCSP | CEH
专注于安全运营、威胁狩猎、事件响应、云安全、漏洞管理以及安全工程。
标签:IOC提取, SOC运营, 后端开发, 威胁情报, 开发者工具