星维·蓝队分析师助手

“星维·蓝队分析师助手”是专门为网络安全从业者 打造的一款的浏览器扩展程序，蓝队分析师可以用它方便的进行情报研判和目标定性。

【一键查询IOC平台】

当分析人员在任意一个网页中选择了IP或者域名的时候，“小助手”会在鼠标旁边弹出一个悬浮按钮，点击按钮就会带着要查询的参数跳转到（事先选择的）威胁情报平台，直接展示结果，无需人工输入和点击，节约了时间。

目前“小助手”支持四个威胁情报平台：微步在线、360威胁情报中心、VirusTotal、绿盟威胁情报中心，以及两个网络空间搜索引擎：ZoomEye、FOFA，此外还支持查询旁站和Whois信息。选择相应的平台并点击保存按钮即可使用。

另外，“小助手”还支持自定义平台，可以设置URL的跳转规则。点击“自定义”即可激活自定义的平台，URL跳转规则填写在下方的文本框中。例如跳转规则如下：

https://www.baidu.com/s?wd={IP}

https://www.baidu.com/s?wd={DOMAIN}

其含义是，当用户选择了一个IP地址并点击按钮时，会跳转到https://www.baidu.com/s?wd={IP}，其中{IP}会自动替换成用户选择的IP地址。同理，当用户选择一个域名时，点击按钮会跳转到https://www.baidu.com/s?wd={DOMAIN}，其中的{DOMAIN}会自动替换成之前选择的域名。

“分析师助手”并不会影响你对浏览器的正常使用，当你选择正常文本时，是不会弹出悬浮按钮的。

【情报本地碰撞】

当分析师浏览安全设备的后台分析告警时，“分析师助手”会自动提取网页中的IP和Domain，进行本地碰撞，并将碰撞结果进行“标红”提醒，帮助分析师在海量的告警中，找出最可疑的那个，以便优先进行分析，缩短应急时间。

“小助手”可在线更新情报至本地，可以使用STARSO提供的开源情报，也可以使用自定义的情报文件。由于情报是在浏览器内存中进行本地碰撞，所以允许离线使用，且使用过程中并且不会将网页中的任何信息发送至互联网，可放心使用。另外情报的更新和碰撞全是异步进行，不会影响使用体验。

情报更新地址：填写情报文件的URL链接（情报文件的制作方法：如果你想使用自定义的情报文件，需要将情报中的域名和IP逐个计算md5，取md5散列的前7位，即ioc_hash=md5(ioc_text)[0:7]，此时便获取了一个情报hash，每个情报hash使用回车分割，保存成一份文件。将该文件上传至Web目录中，并将其下载地址填入“情报更新地址”，点击保存即可）。每次启动浏览器时，或者点击保存按钮时会按下载这个连接并更新到本地。可以使用自定义情报，也可以使用STARSO提供的开源情报：https://starso.oss-cn-beijing.aliyuncs.com/starso_opensource_ioc.txt

作用域：填写URL列表，多个请用回车分割。这些URL下面所有URLs都将进行情报的本地碰撞，作用域以外的URLs都不会进行碰撞。