Saltar al contenido
OSINT AI One

Batch y feeds

Batch desde fichero

El modo batch procesa una lista de IOCs de forma automatica:

Ventana de terminal
# Formato del fichero: un IOC por linea
cat iocs.txt
185.220.101.34
evil-phishing.com
http://malware.host/payload.exe
d41d8cd98f00b204e9800998ecf8427e
8.8.8.8
Ventana de terminal
# Analizar todos (con delay de 2s entre cada uno)
osint-agent --batch iocs.txt


# Limitar a los primeros 20
osint-agent --batch iocs.txt --limit 20


# Salida JSON (util para scripting)
osint-agent --batch iocs.txt --json


# Guardar resultados
osint-agent --batch iocs.txt --json > resultados-$(date +%Y%m%d).json

Batch desde feeds en vivo

Ventana de terminal
# 5 IPs C2 mas recientes de Feodo (botnets)
osint-agent --feed feodo --limit 5


# 3 URLs de malware de URLhaus
osint-agent --feed urlhaus --limit 3


# 10 IPs maliciosas de IPsum
osint-agent --feed ipsum --limit 10


# Infraestructura C2 de C2IntelFeeds
osint-agent --feed c2intel --limit 5


# Con salida JSON
osint-agent --feed feodo --limit 5 --json

Automatizacion diaria con cron

Analiza los feeds mas peligrosos cada mañana:

Ventana de terminal
# crontab -e
0 7 * * * /path/to/.venv/bin/osint-agent --feed feodo --limit 10 --json \
    >> /var/log/osint/feodo-$(date +\%Y\%m\%d).json 2>&1

Pipeline con scripting

#!/bin/bash
# Analiza feeds y alerta si hay IOCs de alto riesgo


osint-agent --feed feodo --limit 20 --json | jq -r '.[] |
    select(.risk_score >= 80) |
    "\(.ioc) - Score: \(.risk_score) - \(.assessment | .[0:100])"' \
    | while read -r line; do
        echo "[ALERTA CRITICA] $line"
        # Aqui podrias enviar a Slack, PagerDuty, etc.
    done

Integracion con SIEM

Ventana de terminal
# Exportar a formato compatible con Splunk
osint-agent --batch iocs.txt --json | jq '[.[] | {
    ioc: .ioc,
    type: .ioc_type,
    risk_score: .risk_score,
    risk_level: .risk_level,
    malicious: (.risk_score >= 60),
    timestamp: now | todate
}]'

Control de rate limits

Con listas grandes, ajusta el delay para no agotar las quotas:

Ventana de terminal
# Para VirusTotal free tier (500 req/dia, 4 req/min)
BATCH_DELAY_SECONDS=15 osint-agent --batch large-list.txt --limit 100


# Para tiers pagados
BATCH_DELAY_SECONDS=1 osint-agent --batch large-list.txt --limit 500

El cache de 24h evita re-analizar IOCs que ya investigaste hoy.

Deduplicacion automatica

Si tu fichero tiene IOCs repetidos, el batch los procesa solo una vez (la segunda vez lee del cache):

iocs.txt:
185.220.101.34    ← analiza con API
8.8.8.8           ← analiza con API
185.220.101.34    ← lee del cache (no consume API quota)

Feeds: que elegir segun el caso

Caso de usoFeed recomendado
Botnets y C2 activosfeodo, c2intel
Malware distributionurlhaus
IPs maliciosas generalipsum
Tendencias de traficocloudflare
Cobertura maximaTodos con --limit 5 cada uno