当前位置: 首页 > news >正文

一个集成多源威胁情报的聚合平台,提供实时威胁情报查询和播报服务、主动拦截威胁IP,集成AI等多项常用安全类工具

威胁协同平台

威胁协同平台 (Threat Intelligence Hub),一个集成多源威胁情报的聚合平台,为安全研究人员和运维团队提供实时威胁情报查询和播报服务、主动拦截威胁IP,集成AI等多项常用安全类工具。 作者:HaoY-l

威胁情报截图展示


WAF协同截图展示

Tools截图展示

👥 目标用户

🛡️ 安全运维团队

快速查询可疑IP、URL的威胁情报,辅助安全事件分析;监控网络流量中的恶意IP和域名,及时发现安全威胁;自动化威胁检测和响应

🔍 安全研究人员

查询文件哈希值,快速识别恶意样本;利用多源情报进行威胁狩猎和溯源分析;获取最新CVE信息,跟踪漏洞披露和利用情况

🏢 企业安全团队

通过威胁情报播报了解最新安全态势;检测内网资产是否存在已知威胁;获取威胁情报报告,满足合规要求

🎯 使用场景

让安全运营从被动变为主动

🚨 日常安全运营

  • 告警分析: 当SIEM系统产生安全告警时,快速查询相关IP、域名的威胁情报
  • 日志分析: 分析Web访问日志、防火墙日志中的可疑访问源
  • 网络监控: 实时监控网络流量,识别与已知恶意IP的通信
  • 邮件安全: 检测钓鱼邮件中的恶意链接和附件

🔬 威胁情报分析

  • APT溯源: 通过IP、域名关联分析,追踪高级持续威胁
  • 恶意软件分析: 查询样本哈希值,获取恶意软件家族信息
  • IOC扩展: 基于已知威胁指标,发现更多关联的威胁情报
  • 威胁态势感知: 分析威胁趋势,预测潜在安全风险

🎯 应急响应

  • 事件响应: 安全事件发生时,快速获取攻击者的威胁情报
  • 取证分析: 数字取证过程中,查询可疑文件和网络连接
  • 威胁遏制: 基于威胁情报,快速制定防护策略
  • 损失评估: 评估安全事件的影响范围和潜在损失

🔧 自动化集成

  • SIEM集成: 集成到Splunk、ELK、QRadar等SIEM平台
  • SOAR集成: 集成到Phantom、Demisto等SOAR平台
  • API调用: 通过API接口集成到自研安全工具
  • 脚本自动化: 编写Python/Shell脚本,实现自动化威胁检测

🚀 功能特性

📊 每日威胁情报播报

  • 自动化CVE播报: 每日定时获取最新CVE漏洞信息
  • 多源情报聚合: 整合阿里云、官方CVE数据库等权威威胁情报源;集成Freebuf、CSDN等安全资讯源
  • 实时更新: 每3小时自动刷新情报数据,确保信息时效性

🔍 威胁情报查询

  • IP地址查询: 快速查询IP地址的威胁情报和恶意行为记录
  • URL安全检测: 检测URL的安全性和潜在威胁
  • 恶意文件分析: 支持文件哈希值查询,识别恶意软件

🗄️ WAF协同能力(Aliyun)

每分钟分析一次🧱

  • 威胁实时分析: 自动查询15分钟内WAF规则封禁IP和5分钟内高频请求IP
  • 威胁IP自动辨别: 根据WAF自身的封禁IP和高频请求IP,自动识别威胁IP
  • 威胁IP自动封禁: 识别出的风险IP(信誉分小于-5),自动封禁(黑名单)

😯 其他

  • IP归属地查询: 支持查询IP的归属地、运营商、ASN信息
  • 域名Whois查询: 支持查询域名的Whois信息
  • AI机器人: 支持用户与AI进行对话(暂时只接了豆包)

📦 快速开始

环境要求

  • Python 3.8+ 或 Node.js 16+
  • MySQL 8.0+

安装步骤

脚本一件安装

./deploy.sh

注意:程序运行端口默认为8891

🔧 配置说明

环境变量配置

# .env
ENV=proDB_TYPE=mysql
MYSQL_HOST=2xx.xx.26
MYSQL_PORT=xxx
MYSQL_USER=root
MYSQL_PASSWORD=xxx
MYSQL_NAME=xxx# threat intel
virustotal_api_key=xxx
shodan_api_key=xxx# system
file_log=app.log# WAF API INFO
# WAF INSTACE_ID INFO
INSTANCE_ID = ''
REGION_ID = ''
# WAF AKSK INFO
ALIBABA_CLOUD_ACCESS_KEY_ID = ''
ALIBABA_CLOUD_ACCESS_KEY_SECRET = '' 
# WAF SLS INFO
SLS_PROJECT_NAME = ''
SLS_LOGSTORE_NAME = ''
# WAF WHITELIST INFO
WHITELIST_TEMPLATE_ID = ''
# WAF BLACKLIST INFO
BLACKLIST_TEMPLATE_ID = ''
BLACKLIST_RULES_ID = ''
# DINGDING INFO
DDINGTALK_WEBHOOK_URL = ''# 公众号
wx_appid=''
wx_secret=''

数据源配置

支持的威胁情报源:

  • 阿里云威胁情报: 最新CVE漏洞信息
  • CVE官方数据库: 最新CVE漏洞信息
  • VirusTotal: 提供IP、域名、文件威胁情报,声誉查询
  • AlienVault OTX: 提供IP、域名、文件威胁情报,声誉查询
  • 其他开源情报源: 可根据需求扩展
    目前CVE仅展示了阿里云漏洞平台的漏洞信息,IP、URL、File检测依赖了VirusTotal和AlienVault OTX的API

工具下载

https://github.com/HaoY-l/threat-intel-hub

网络安全情报攻防站

www.libaisec.com

综合性的技术交流与资源共享社区

专注于红蓝对抗、攻防渗透、威胁情报、数据泄露

http://www.xdnf.cn/news/1303885.html

相关文章:

  • mac 通过homebrew 安装和使用nvm
  • 16进制pcm数据转py波形脚本
  • 超越模型中心:AI智能体(Agent)革命来临,AgenticOps将如何颠覆你的工作流?
  • Java-JVM是什么JVM的类加载机制
  • PAT 1064 Complete Binary Search Tree
  • 计算机网络:(十五)TCP拥塞控制与TCP拥塞控制算法
  • 【161页PPT】智慧方案企业数字化转型概述(课件)(附下载方式)
  • AutoSar AP平台功能组并行运行原理
  • [论文阅读] 人工智能 | 当Hugging Face遇上GitHub:预训练语言模型的跨平台同步难题与解决方案
  • JVM执行引擎深入理解
  • 剧本杀小程序系统开发:重构推理娱乐生态
  • 大模型幻觉涉及的违约责任探讨
  • 回路自感和回路互感
  • 补充日志之-配置文件解析指南(Centos7)
  • 德州扑克游戏术语
  • 银河麒麟服务器jar包部署自启动配置
  • 第十八讲:哈希2
  • 神经网络 小土堆pytorch记录
  • 开疆智能Ethernet转ModbusTCP网关连接测联无纸记录仪配置案例
  • 《探秘浏览器Web Bluetooth API设备发现流程》
  • 解决 MySQL 查询速度缓慢的问题
  • 前端更改浏览器默认滚动条样式
  • 13_集合框架
  • Linux815 shell:while
  • 口播数字人免费API调用方案
  • Elasticsearch赋能规章制度智能检索:从海量文档到秒级响应
  • linux-----------------锁
  • mysql启动超时
  • 本地生活|MallBook 分账赋能浙江本地生活服务平台,助力实现资金流转效率与合规性的双提升!
  • 高通vendor app访问文件