nawazahmad/IOC-Extrator-and-Query-Generator

GitHub: nawazahmad/IOC-Extrator-and-Query-Generator

一款纯浏览器端的轻量级威胁情报处理工具,能从非结构化文本中自动提取各类妥协指标并生成多平台SIEM狩猎查询。

Stars: 0 | Forks: 0

# IOC 提取器与查询生成器 一款轻量级的客户端威胁狩猎工具,能够从威胁情报报告、事件响应笔记、供应商安全通告以及恶意软件分析中提取妥协指标 (IOC),并自动为多个安全平台生成可直接使用的狩猎查询。 该应用专为安全运营中心 (SOC) 分析师、事件响应人员、威胁猎人、DFIR 专业人士以及安全工程师设计,帮助他们快速将威胁情报转化为实际操作。 ## 功能 ### 自动提取 IOC 粘贴任何威胁报告或事件笔记,即可自动提取: * IPv4 地址 * IPv6 地址 * 域名 * URL * 电子邮件地址 * MD5 哈希 * SHA1 哈希 * SHA256 哈希 * CVE * MITRE ATT&CK 技术 ID 解析器还会自动还原常见的威胁情报脱敏格式,例如: ``` hxxp:// hxxps:// [.] (dot) [at] ``` 使其能够兼容大多数安全供应商发布的报告。 ## 生成的狩猎查询 该工具会自动为以下平台生成狩猎查询: ### Splunk SPL * 网络 IOC 搜索 * 文件哈希搜索 * 漏洞暴露搜索 * ATT&CK 检测覆盖 * 资产关联示例 ### Microsoft Defender XDR (KQL) * DeviceNetworkEvents * DeviceFileEvents * DeviceTvmSoftwareVulnerabilities * EmailEvents ### Tenable * CVE 过滤示例 ### Tanium * 资产暴露问题 * 文件哈希搜索 * 漏洞查询 ## MITRE ATT&CK 支持 该应用程序会提取 MITRE ATT&CK 技术 ID(例如 `T1059.001`),并具备以下功能: * 显示易懂的技术名称 * 直接链接到官方的 MITRE ATT&CK 文档 * 将邻近的 ATT&CK 技术与所引用的 CVE 进行关联(仅基于文本邻近度) * 为 Splunk 生成 ATT&CK 覆盖查询 ## CISA KEV 集成 可选择对 CISA 已知被利用漏洞 (KEV) 目录进行实时查询。 功能包括: * 标记已知被利用的 CVE * 指示正在被主动利用的漏洞 * 仅在启用时运行 * 使用托管在 GitHub 上的官方 CISA KEV JSON 不会传输任何其他报告数据。 ## 外部威胁情报链接 每个提取出的 IOC 都包含指向常见威胁情报资源的快速链接,例如: * VirusTotal * AbuseIPDB * Shodan * urlscan.io * NVD * CVE.org * MITRE ATT&CK 这使得分析师能够直接转向获取更多情报。 ## 导出功能 该应用程序支持: * 复制单个狩猎查询 * 复制所有提取的 IOC * 导出 Markdown IOC 摘要 * 剪贴板集成 ## 隐私 该应用程序完全在您的浏览器中运行。 任何粘贴的威胁报告或事件数据都不会离开您的设备。 唯一的可选网络请求是: * CISA 已知被利用漏洞目录 如果禁用 KEV 检查,该应用程序将完全在离线状态下运行。 ## 典型工作流 1. 粘贴威胁情报报告。 2. 点击 **Extract Indicators**。 3. 审查提取的 IOC。 4. 使用外部情报链接验证指标。 5. 复制生成的 Splunk 或 Defender 狩猎查询。 6. 在企业遥测数据中进行狩猎。 7. 导出 IOC 摘要以用于记录文档或分享。 ## 示例输入 ``` Observed communication to: hxxps://malicious-update[.]net 185[.]220[.]101[.]45 SHA256: 275a021bbfb6489e54d471899f7db9d1663fc695ec2fe2a2c4538aabf651fd0 CVE-2024-21887 T1059.001 ``` 该工具会自动提取指标、还原脱敏的值、生成狩猎查询,并突出显示任何已知被利用的漏洞。 ## 使用的技术 * HTML5 * CSS3 * 原生 JavaScript * Clipboard API * Fetch API * 客户端正则表达式 无需任何框架或构建工具。 ## 项目初衷 威胁情报报告通常需要分析师手动进行以下操作: * 识别指标 * 还原脱敏的值 * 构建 SIEM 查询 * 研究 CVE * 映射 MITRE ATT&CK 技术 * 检查企业暴露面 该工具将这些重复性任务自动化,使分析师能够在几秒钟内从情报获取转入威胁狩猎阶段。 ## 许可证 MIT License 可根据许可证条款自由使用、修改和分发本项目。 ## 作者 **Nawaz Ahmad** 网络安全爱好者 | CISSP | CCSP | CEH 专注于安全运营、威胁狩猎、事件响应、云安全、漏洞管理以及安全工程。
标签:IOC提取, SOC运营, 后端开发, 威胁情报, 开发者工具