hibaadil/ioc_extractor
GitHub: hibaadil/ioc_extractor
轻量级SOC自动化工具,从安全文本样本中提取失陷指标(IOCs)并利用VirusTotal进行威胁情报富化与风险分类。
Stars: 0 | Forks: 0
# IOC 提取器与威胁情报分析器
## 概述
一款轻量级的 SOC 自动化工具,旨在从安全相关的文本样本中提取**失陷指标 (IOCs)**,并利用威胁情报源对其进行丰富。
该项目通过分析不同的安全场景来模拟**安全运营中心 (SOC)** 的工作流程:
- 钓鱼邮件
- 恶意软件警报
- 可疑的登录活动
- 正常的商务邮件
该工具可以提取安全指标,执行风险分类,并集成 VirusTotal 进行威胁情报丰富。
# 功能
## IOC 提取
自动提取:
- IP 地址
- URL
- 域名
- 电子邮件地址
- 文件哈希值:
- MD5
- SHA1
- SHA256
## 威胁分类
该工具将安全事件划分为不同类别:
- CLEAN
- SUSPICIOUS
- PHISHING
- MALWARE
分类是基于检测到的指标和安全相关的模式进行的。
## VirusTotal API 丰富
该工具集成了 VirusTotal API,以利用外部威胁情报对提取的指标进行丰富。
功能包括:
- IP 信誉查询
- 恶意软件哈希信誉验证
API 凭据使用环境变量进行安全管理。
# 工作流程
```
Security Sample
|
v
IOC Extraction
|
v
Risk Classification
|
v
VirusTotal Enrichment
|
v
JSON Investigation Report
```
# 安装说明
## 安装依赖项
运行:
```
pip install -r requirements.txt
```
# 配置
在项目目录中创建一个 `.env` 文件:
```
VT_API_KEY=your_virustotal_api_key
```
API 密钥在执行过程中被安全地加载,并且不会存储在源代码中。
# 用法
针对安全样本运行分析器:
```
python ioc_tool.py samples/sample_01_phishing.txt
```
示例:
```
python ioc_tool.py samples/sample_02_malware.txt
```
该工具会生成一份 JSON 调查报告,包含:
- 分类结果
- 提取的 IOC
- VirusTotal 丰富结果
# 安全实践
该项目遵循安全的开发实践:
- API 密钥存储在源代码之外
- 使用环境变量进行配置
- 仓库中不上传任何恶意软件样本
- 仅存储 IOC 信息和分析结果
# 未来改进
计划中的增强功能:
- URL 信誉检查
- 域名信誉检查
- 自动化电子邮件 (`.eml`) 解析
- 生成 CSV 报告
- MITRE ATT&CK 映射
- SIEM 集成
- 自动化警报优先级排序
# 使用的技术
- Python
- 正则表达式
- VirusTotal API
- JSON
- 威胁情报概念
- SOC 调查方法论
# 作者
**Hiba Adil**
网络安全 / SOC 分析师作品集项目
标签:Homebrew安装, IOC提取, Python, SOC自动化, 威胁情报, 安全运营, 开发者工具, 扫描框架, 无后门, 逆向工具