hibaadil/ioc_extractor

GitHub: hibaadil/ioc_extractor

轻量级SOC自动化工具,从安全文本样本中提取失陷指标(IOCs)并利用VirusTotal进行威胁情报富化与风险分类。

Stars: 0 | Forks: 0

# IOC 提取器与威胁情报分析器 ## 概述 一款轻量级的 SOC 自动化工具,旨在从安全相关的文本样本中提取**失陷指标 (IOCs)**,并利用威胁情报源对其进行丰富。 该项目通过分析不同的安全场景来模拟**安全运营中心 (SOC)** 的工作流程: - 钓鱼邮件 - 恶意软件警报 - 可疑的登录活动 - 正常的商务邮件 该工具可以提取安全指标,执行风险分类,并集成 VirusTotal 进行威胁情报丰富。 # 功能 ## IOC 提取 自动提取: - IP 地址 - URL - 域名 - 电子邮件地址 - 文件哈希值: - MD5 - SHA1 - SHA256 ## 威胁分类 该工具将安全事件划分为不同类别: - CLEAN - SUSPICIOUS - PHISHING - MALWARE 分类是基于检测到的指标和安全相关的模式进行的。 ## VirusTotal API 丰富 该工具集成了 VirusTotal API,以利用外部威胁情报对提取的指标进行丰富。 功能包括: - IP 信誉查询 - 恶意软件哈希信誉验证 API 凭据使用环境变量进行安全管理。 # 工作流程 ``` Security Sample | v IOC Extraction | v Risk Classification | v VirusTotal Enrichment | v JSON Investigation Report ``` # 安装说明 ## 安装依赖项 运行: ``` pip install -r requirements.txt ``` # 配置 在项目目录中创建一个 `.env` 文件: ``` VT_API_KEY=your_virustotal_api_key ``` API 密钥在执行过程中被安全地加载,并且不会存储在源代码中。 # 用法 针对安全样本运行分析器: ``` python ioc_tool.py samples/sample_01_phishing.txt ``` 示例: ``` python ioc_tool.py samples/sample_02_malware.txt ``` 该工具会生成一份 JSON 调查报告,包含: - 分类结果 - 提取的 IOC - VirusTotal 丰富结果 # 安全实践 该项目遵循安全的开发实践: - API 密钥存储在源代码之外 - 使用环境变量进行配置 - 仓库中不上传任何恶意软件样本 - 仅存储 IOC 信息和分析结果 # 未来改进 计划中的增强功能: - URL 信誉检查 - 域名信誉检查 - 自动化电子邮件 (`.eml`) 解析 - 生成 CSV 报告 - MITRE ATT&CK 映射 - SIEM 集成 - 自动化警报优先级排序 # 使用的技术 - Python - 正则表达式 - VirusTotal API - JSON - 威胁情报概念 - SOC 调查方法论 # 作者 **Hiba Adil** 网络安全 / SOC 分析师作品集项目
标签:Homebrew安装, IOC提取, Python, SOC自动化, 威胁情报, 安全运营, 开发者工具, 扫描框架, 无后门, 逆向工具