Phishing analysis URLScan io and Virustotal

工作流名称

Phishing_analysis__URLScan_io_and_Virustotal_

主要功能和亮点

该工作流自动检测和分析电子邮件中的潜在钓鱼URL，结合URLScan.io和VirusTotal两大权威安全服务，提供多维度的URL安全评估和详细报告。支持手动触发和定时自动执行，确保持续监控钓鱼威胁。通过Slack集成，实时推送分析结果，方便安全团队快速响应。

解决的核心问题

钓鱼攻击通过恶意URL传播，传统人工排查费时费力且易遗漏。该工作流自动从未读邮件中提取URL，利用先进的安全扫描工具检测恶意行为，有效提升钓鱼邮件识别的准确性和效率，帮助企业及时发现并阻断钓鱼威胁。

应用场景

• 企业安全运营中心（SecOps）自动化钓鱼邮件分析
• IT安全团队实时监测邮件钓鱼风险
• 有大量邮件往来的组织需自动过滤潜在威胁
• 结合安全情报工具进行多渠道威胁检测与响应

主要流程步骤

1. 触发机制：支持手动点击“Execute Workflow”或定时触发，自动开始流程。
2. 获取邮件：连接Microsoft Outlook，抓取所有未读邮件并标记为已读，避免重复处理。
3. 提取URL：通过Python代码调用ioc-finder库，从邮件正文中提取所有潜在的URL指标（IoCs）。
4. URL校验：判断是否存在URL，无则跳过继续下一封邮件。
5. 并行扫描：对提取的URL同时调用URLScan.io和VirusTotal进行扫描。
6. 结果等待与获取：等待一段时间让URLScan.io完成扫描，随后获取两个平台的详细安全报告。
7. 报告合并：将两个来源的扫描结果合并，形成综合分析视图。
8. 筛选有效数据：过滤出成功获取并完整的扫描结果。
9. Slack通知：将邮件主题、发件人、发送时间及两大平台的扫描链接和安全结论通过Slack消息发送至指定频道，方便安全团队即时查看。

涉及的系统或服务

• Microsoft Outlook：邮件获取与管理
• URLScan.io：URL安全扫描与网站分析
• VirusTotal：多引擎恶意URL检测
• Slack：即时通信与告警推送
• n8n内置节点：如Split In Batches（批量处理）、HTTP Request、Python代码节点等

适用人群或使用价值

• 网络安全分析师和安全运营团队
• IT管理员及企业安全负责人
• 需要自动化邮件安全检测以减轻人工负担的组织
• 希望通过集成多平台安全工具实现钓鱼威胁快速识别和响应的企业

本工作流为企业提供了一套高效、自动化的钓鱼邮件URL检测方案，结合领先的安全技术和灵活的通知机制，极大提升了钓鱼威胁防御的时效性和准确性，保障信息安全环境的稳定。