Torna al portfolio
Feed di cyber threat intelligence

Feed di cyber threat intelligence

Una piattaforma di cyber threat intelligence che raccoglie IP e domini malevoli da sensori in rete, li arricchisce con geolocalizzazione, proprietà e contesto MITRE ATT&CK e li distribuisce tramite una REST API e una dashboard interattiva. Un'architettura master–replica mantiene privata la raccolta ed espone ai clienti solo dati in sola lettura.

// Architettura

Un servizio FastAPI gestisce raccolta, arricchimento e l'API con limite di frequenza, mentre una dashboard Next.js 15 con mappe geografiche D3 e NextAuth serve gli analisti. I dati risiedono in MySQL 8 con replica master–replica, connessioni cifrate in TLS, autenticazione con API key e account con hash bcrypt. Il deploy è automatizzato con script di installazione e systemd, eseguiti sotto utenti di servizio non root.

// Funzionalità chiave

Raccolta multi-sorgente

Gli indicatori arrivano da nodi di uscita Tor, blocklist della community, AbuseIPDB, VirusTotal e URLhaus, con arricchimento opzionale tramite Splunk.

Arricchimento automatico

Ogni indicatore acquisisce GeoIP, ASN, storico RDAP/WHOIS e tattiche e tecniche MITRE ATT&CK, con snapshot storici conservati per l'audit.

Feed leggibili dalle macchine

I dati sulle minacce vengono serviti in JSON o esportati come bundle STIX 2.1 e CSV, pronti da collegare direttamente agli strumenti SOC esistenti.

Distribuzione master–replica

La replica MySQL separa il server di raccolta privato da una replica in sola lettura rivolta ai clienti; alta disponibilità con una superficie d'attacco minima.

// Stack tecnologico
Python / FastAPINext.jsMySQLSplunkSTIX 2.1
// Dentro il progetto
Feed di cyber threat intelligence — 1
// Contatti

Hai un progetto in mente?|

Raccontaci cosa stai costruendo e ti ricontattiamo.

orv:~$new-project
oppure contattaci direttamente
Telegram@OrvTeam
GitHub@ItsOrv
Email
orv© 2026