
Feed di cyber threat intelligence
Una piattaforma di cyber threat intelligence che raccoglie IP e domini malevoli da sensori in rete, li arricchisce con geolocalizzazione, proprietà e contesto MITRE ATT&CK e li distribuisce tramite una REST API e una dashboard interattiva. Un'architettura master–replica mantiene privata la raccolta ed espone ai clienti solo dati in sola lettura.
Un servizio FastAPI gestisce raccolta, arricchimento e l'API con limite di frequenza, mentre una dashboard Next.js 15 con mappe geografiche D3 e NextAuth serve gli analisti. I dati risiedono in MySQL 8 con replica master–replica, connessioni cifrate in TLS, autenticazione con API key e account con hash bcrypt. Il deploy è automatizzato con script di installazione e systemd, eseguiti sotto utenti di servizio non root.
Raccolta multi-sorgente
Gli indicatori arrivano da nodi di uscita Tor, blocklist della community, AbuseIPDB, VirusTotal e URLhaus, con arricchimento opzionale tramite Splunk.
Arricchimento automatico
Ogni indicatore acquisisce GeoIP, ASN, storico RDAP/WHOIS e tattiche e tecniche MITRE ATT&CK, con snapshot storici conservati per l'audit.
Feed leggibili dalle macchine
I dati sulle minacce vengono serviti in JSON o esportati come bundle STIX 2.1 e CSV, pronti da collegare direttamente agli strumenti SOC esistenti.
Distribuzione master–replica
La replica MySQL separa il server di raccolta privato da una replica in sola lettura rivolta ai clienti; alta disponibilità con una superficie d'attacco minima.
