Saltar al contenido
OSINT AI One

Threat Intel rapida

Cuando necesitas una respuesta rapida sobre un IOC sin el overhead de crear una investigacion formal.

Query directa desde CLI

Ventana de terminal
# IP
osint-agent -q "Investiga la IP 185.220.101.34"


# Dominio
osint-agent -q "Es malicioso el dominio phishing-example.net?"


# URL
osint-agent -q "Analiza esta URL: http://malware.host/payload.exe"


# Hash
osint-agent -q "Que es el fichero con hash d41d8cd98f00b204e9800998ecf8427e"

Sesion interactiva para triaje

Ventana de terminal
osint-agent
osint> Investiga la IP 185.220.101.34
# → Analisis completo con risk score


osint> Y el dominio evil-relay.com que aparece en los logs?
# → El agente recuerda el contexto de la sesion


osint> /dashboard
# → Tabla comparativa de todos los IOCs analizados


osint> /report save
# → Informe en reports/

JSON para scripting

Ventana de terminal
# Obtener solo el risk score
osint-agent -q "Analiza 185.220.101.34" --json | jq '.risk_score'


# Procesar resultado en pipeline
osint-agent -q "Investiga evil.com" --json | python3 -c "
import json, sys
data = json.load(sys.stdin)
if data['risk_score'] > 60:
    print(f'ALERTA: {data[\"ioc\"]} riesgo {data[\"risk_score\"]}/100')
"

Desde MCP en Claude Desktop

Abre Claude Desktop con el MCP configurado y escribe directamente:

Investiga la IP 185.220.101.34 y dime si es maliciosa

Claude usa las herramientas MCP para llamar a VirusTotal, AbuseIPDB, Shodan y devuelve un analisis completo. No necesitas abrir el terminal.

Respuesta a incidentes: batch rapido

Cuando tienes una lista de IOCs de un alert o SIEM:

Ventana de terminal
# Crea iocs-incident.txt con los IOCs del incidente
cat > iocs-incident.txt << EOF
185.220.101.34
evil-c2.example.com
http://malware-url.net/payload
d41d8cd98f00b204e9800998ecf8427e
EOF


# Analiza todos con salida JSON
osint-agent --batch iocs-incident.txt --json > incident-analysis.json


# Ver solo los de alto riesgo
cat incident-analysis.json | jq '.[] | select(.risk_score > 60)'

Consultas contextuales rapidas

El agente no solo analiza IOCs tecnicos:

osint> Dame contexto sobre el grupo APT Scattered Spider
osint> Cual es el estado actual de amenazas de ransomware este mes?
osint> Hay alguna vulnerabilidad 0-day importante en los ultimos 7 dias?

Para esto usa GDELT, RSS de seguridad y clasificacion de amenazas.

Comparar con historial

Si investigaste el mismo IOC hace tiempo:

osint> Investiga 185.220.101.34 y compara con el historial
# → search_history devuelve el analisis previo
# → El agente compara: "La ultima vez era MEDIO, ahora es CRITICO"

Cuando pasar a investigacion formal

Usa threat intel rapida para:

  • Triaje de alertas SIEM
  • Verificacion rapida durante un incidente
  • Enriquecimiento ad-hoc

Pasa a investigacion formal (/investigation-init) cuando:

  • El caso tiene implicaciones legales o de compliance
  • Necesitas trazabilidad para un informe externo
  • Hay multiples analistas trabajando en el mismo caso
  • La investigacion durara mas de una sesion