intelowlproject/IntelOwl

[](https://github.com/intelowlproject/IntelOwl/releases) [](https://github.com/intelowlproject/IntelOwl/stargazers) [](https://hub.docker.com/repository/docker/intelowlproject/intelowl) [](https://twitter.com/intel_owl) [](https://www.linkedin.com/company/intelowl/) [](https://intelowlproject.github.io) [](https://intelowl.honeynet.org) [](https://github.com/astral-sh/ruff) [](https://github.com/intelowlproject/IntelOwl/actions/workflows/codeql-analysis.yml) [](https://github.com/intelowlproject/IntelOwl/actions/workflows/dependency_review.yml) [](https://github.com/intelowlproject/IntelOwl/actions) [](https://app.deepsource.com/gh/intelowlproject/IntelOwl/?ref=repository-badge) [](https://api.securityscorecards.dev/projects/github.com/intelowlproject/IntelOwl) [](https://bestpractices.coreinfrastructure.org/projects/7120) # Intel Owl 您是否想获取关于恶意软件、IP 地址或域名的**威胁情报数据**？您是否希望通过**单个 API 请求**同时从多个来源获取此类数据？ 您来对地方了！ IntelOwl 是一个用于大规模管理威胁情报的开源解决方案。它集成了许多在线可用的分析器以及大量尖端的恶意软件分析工具。 ### 功能特性 此应用程序专为**横向扩展**和**加速威胁信息的检索**而构建。 它提供： - 对文件以及可观测数据（IP、域名、URL、哈希等）的**威胁情报丰富**。 - 使用 Django 和 Python 编写的功能齐全的 REST API。 - 一种简单的方式来集成到您的安全工具栈中，以自动化通常由 SOC 分析人员手动执行的常见工作。（得益于官方库 [pyintelowl](https://github.com/intelowlproject/pyintelowl) 和 [go-intelowl](https://github.com/intelowlproject/go-intelowl)） - **内置 GUI**：提供仪表板、分析数据可视化、易于使用的请求新分析的表单等功能。 - 一个由称为**插件**的模块化组件组成的**框架**： - *analyzers*（分析器）：可以运行以从外部来源（如 VirusTotal 或 AbuseIPDB）检索数据，或从内部可用工具（如 Yara 或 Oletools）生成情报 - *connectors*（连接器）：可以运行以将数据导出到外部平台（如 MISP 或 OpenCTI） - *pivots*（ pivots）：旨在触发分析链的执行并将它们相互连接 - *visualizers*（可视化器）：旨在在 GUI 中创建分析结果的自定义可视化 - *ingestors*（摄入器）：允许自动将可观测数据或文件流摄入到 IntelOwl 本身 - *playbooks*（剧本）：旨在使分析易于重复 - *data models*（数据模型）：将从分析器提取的不同数据映射到单个通用模式 - 分析师**调查**的起点：用户可以记录他们的发现，关联找到的信息，并进行协作……所有这些都在一个地方完成 ### 文档 我们努力保持文档编写良好、易于理解并始终更新。 有关安装、使用、配置和贡献的所有信息都可以在[这里](https://intelowlproject.github.io/docs/)找到 ### 出版物和媒体 想了解更多关于该项目及其随时间增长的信息，您可能有兴趣阅读[通过点击此链接查看关于该项目的官方博文和/或视频](https://intelowlproject.github.io/docs/IntelOwl/introduction/#publications-and-media) ### 可用服务或分析器 您可以在[文档](https://intelowlproject.github.io/docs/IntelOwl/usage/#analyzers)中查看所有可用分析器的完整列表。 | 类型 | 可用分析器 | | -------------------------------------------------- |---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | 内置模块 | - 静态 Office 文档、RTF、PDF、PE、ELF、APK 文件分析和元数据提取
- 字符串反混淆和分析 ([FLOSS](https://github.com/mandiant/flare-floss), [Stringsifter](https://github.com/mandiant/stringsifter), ...)
- [Yara](https://virustotal.github.io/yara/), [ClamAV](https://www.clamav.net/) (提供大量公开规则。您也可以添加自己的规则)
- 使用 [Qiling](https://github.com/qilingframework/qiling) 和 [Speakeasy](https://github.com/mandiant/speakeasy) 进行 PE 模拟
- PE 签名验证
- PE 能力提取 ([CAPA](https://github.com/mandiant/capa) 和 [Blint](https://github.com/owasp-dep-scan/blint))
- Javascript 模拟 ([Box-js](https://github.com/CapacitorSet/box-js))
- Android 恶意软件分析 ([Quark-Engine](https://github.com/quark-engine/quark-engine), [Androguard](https://github.com/androguard/androguard), [Mobsf](https://github.com/MobSF/mobsfscan/), ...)
- SPF 和 DMARC 验证器
- 使用 [Suricata](https://github.com/OISF/suricata) 和 [Hfinger](https://github.com/CERT-Polska/hfinger) 进行 PCAP 分析
- 蜜罐客户端 ([Thug](https://github.com/buffer/thug), [Selenium](https://github.com/wkeeling/selenium-wire))
- 扫描器 ([WAD](https://github.com/CERN-CERT/WAD), [Nuclei](https://github.com/projectdiscovery/nuclei), ...)
- 更多... | | 外部服务 | - Abuse.ch MalwareBazaar/URLhaus/Threatfox/YARAify
- GreyNoise v2
- Intezer
- VirusTotal v3
- Crowdsec
- URLscan
- Shodan
- AlienVault OTX
- Intelligence X
- MISP
- 更多.. | #### Google 编程之夏 自诞生以来，该项目一直参与 [Google Summer of Code](https://summerofcode.withgoogle.com/) (GSoC)！ 如果您有兴趣参加下一届 Google Summer of Code，请查看[专用仓库](https://github.com/intelowlproject/gsoc)中的所有可用信息！ #### Docker 2021 年，IntelOwl 加入了官方的 [Docker 开源项目](https://www.docker.com/blog/expanded-support-for-open-source-software-projects/)。这使 IntelOwl 开发人员能够轻松管理 Docker 镜像并专注于编写代码。您可以在[这里](https://hub.docker.com/search?q=intelowlproject)找到官方的 IntelOwl Docker 镜像。 ## 关于作者和维护者 欢迎随时在 Twitter 上联系主要开发者： - [Matteo Lodi](https://twitter.com/matte_lodi): 作者、顾问和管理员 - [Daniele Rosetti](https://github.com/drosetti): 管理员和前端维护者 - [Simone Berni](https://twitter.com/0ssig3no): 后端维护者 - [Federico Gibertoni](https://x.com/fgibertoni1): 维护者和社区助理 - [Eshaan Bansal](https://twitter.com/eshaan7_): 核心贡献者

标签：Celery, DAST, Django, Docker, Elasticsearch, ESC4, IP 地址批量处理, IP地址查询, OSINT, PB级数据处理, PostgreSQL, Python, Redis, REST API, Sigma 规则, SOAR, 可扩展架构, 商业软件, 域名分析, 威胁情报, 安全运维, 安全防御评估, 实时处理, 密码管理, 开发者工具, 恶意软件分析, 情报管理, 情报聚合, 搜索引擎查询, 数字取证, 文件扫描, 无后门, 测试用例, 网络安全, 自动化脚本, 蜜罐, 证书利用, 请求拦截, 逆向工具, 隐私保护