Kopiera en hash från ett larm, klistra in den i en uppslagstjänst, läsa resultaten och sedan dokumentera vad du hittade. Igen. Och igen. Det går långsamt, och det är så misstag smyger sig in i hottriageringen.
Säkerhetsanalytiker känner av det här först. Men IT-chefer som försöker hålla köerna rullande, och konsulter som hanterar triage av kunders inkorgar, dras in i det också. Den här automatiseringen för hash-triage förvandlar “flikkaos” till ett tydligt svar som levereras till Gmail.
Du får se vad arbetsflödet gör, vad du behöver för att köra det och hur det tar bort rutinjobbet från hash-uppslagningar utan att göra processen till ett forskningsprojekt.
Så fungerar automatiseringen
Hela n8n-arbetsflödet, från trigger till slutligt resultat:
n8n Workflow Template: CIRCL Hashlookup + Gmail: snabbare hottriage
flowchart LR
subgraph sg0["MCP Service Flow"]
direction LR
n0@{ icon: "mdi:play-circle", form: "rounded", label: "MCP Service Trigger", pos: "b", h: 48 }
n1@{ icon: "mdi:web", form: "rounded", label: "Bulk MD5 Lookup", pos: "b", h: 48 }
n2@{ icon: "mdi:web", form: "rounded", label: "Bulk SHA1 Lookup", pos: "b", h: 48 }
n3@{ icon: "mdi:web", form: "rounded", label: "Retrieve SHA1 Children", pos: "b", h: 48 }
n4@{ icon: "mdi:web", form: "rounded", label: "Fetch DB Details", pos: "b", h: 48 }
n5@{ icon: "mdi:web", form: "rounded", label: "Lookup MD5 Value", pos: "b", h: 48 }
n6@{ icon: "mdi:web", form: "rounded", label: "Lookup SHA1 Value", pos: "b", h: 48 }
n7@{ icon: "mdi:web", form: "rounded", label: "Lookup SHA256 Value", pos: "b", h: 48 }
n8@{ icon: "mdi:web", form: "rounded", label: "Retrieve SHA1 Parents", pos: "b", h: 48 }
n9@{ icon: "mdi:web", form: "rounded", label: "Generate Search Session", pos: "b", h: 48 }
n10@{ icon: "mdi:web", form: "rounded", label: "Fetch Session Results", pos: "b", h: 48 }
n11@{ icon: "mdi:web", form: "rounded", label: "Fetch Top Queries", pos: "b", h: 48 }
n11 -.-> n0
n5 -.-> n0
n6 -.-> n0
n4 -.-> n0
n8 -.-> n0
n3 -.-> n0
n7 -.-> n0
n10 -.-> n0
n9 -.-> n0
n1 -.-> n0
n2 -.-> n0
end
%% Styling
classDef trigger fill:#e8f5e9,stroke:#388e3c,stroke-width:2px
classDef ai fill:#e3f2fd,stroke:#1976d2,stroke-width:2px
classDef aiModel fill:#e8eaf6,stroke:#3f51b5,stroke-width:2px
classDef decision fill:#fff8e1,stroke:#f9a825,stroke-width:2px
classDef database fill:#fce4ec,stroke:#c2185b,stroke-width:2px
classDef api fill:#fff3e0,stroke:#e65100,stroke-width:2px
classDef code fill:#f3e5f5,stroke:#7b1fa2,stroke-width:2px
classDef disabled stroke-dasharray: 5 5,opacity: 0.5
class n0 trigger
class n1,n2,n3,n4,n5,n6,n7,n8,n9,n10,n11 api
Problemet: hash-kontroller är fortfarande märkligt manuella
Hash-uppslagning är en sån uppgift som borde vara omedelbar, men verkligheten är rörig. En enda phishing-utredning kan innehålla flera filhashar, URL-förkortare och bilagor som “kanske inte är något”. Så du hoppar mellan larmet, ett uppslagsverktyg, ett anteckningsdokument och inkorgen. Sedan frågar någon: “Varför markerade du det här som ofarligt?” och du inser att motiveringen fanns i huvudet, inte i ärendet. Multiplicera det med en stökig vecka, och du lägger verklig tid på kopiera-klistra istället för beslutsfattande.
Det blir mycket snabbt. Här är var det faller isär i det dagliga triage-arbetet.
- Du gör samma uppslagning på flera ställen eftersom originalresultatet är svårt att hitta senare.
- Manuella kontroller leder lätt till inkonsekventa bedömningar, särskilt när olika personer tolkar samma svar på olika sätt.
- Mass-triage är plågsamt, så team undviker det i det tysta och utreder bara de “mest högljudda” larmen.
- Kontext försvinner när resultaten inte levereras där du redan arbetar (oftast Gmail eller ärendeinkorgen).
Lösningen: CIRCL Hashlookup-resultat levererade direkt till Gmail
Det här n8n-arbetsflödet paketerar CIRCL Hashlookup API i en MCP-liknande “tool server” som AI-agenter (eller andra automatiseringar) kan anropa pålitligt. Istället för att en människa jagar genom webbläsarflikar exponerar flödet de viktigaste Hashlookup-operationerna som anropbara endpoints: slå upp en enskild MD5/SHA1/SHA256, köra masskontroller, hämta parent/child för SHA1-relationer och till och med skapa en session för att hålla utredningskontexten samlad. När resultaten kommer tillbaka kan du routa outputen dit den gör nytta. För många team betyder det en strukturerad, lättläst sammanfattning i Gmail så att beslutsunderlaget ligger bredvid larmtråden.
Flödet startar när en AI-agent (eller din automatisering) anropar MCP Server Trigger-endpointen med en hash eller en lista med hashar. n8n skickar rätt anrop till hashlookup.circl.lu, samlar svaret och returnerar det i ett strukturerat format du kan återanvända. Därifrån kan Gmail ta emot ett konsekvent meddelande som förklarar vad som matchade, vad som inte gjorde det och vad nästa steg är.
Det du får: automatisering vs. resultat
| Vad det här arbetsflödet automatiserar | Resultat du får |
|---|---|
|
|
Exempel: så här kan det se ut
Säg att du triagerar 15 larm på en dag, och att runt 10 av dem innehåller minst en misstänkt hash. Manuellt tar en snabb kontroll kanske 5 minuter när du har kopierat hashen, kört uppslagningen, tolkat resultaten och klistrat in anteckningar i tråden. Det blir ungefär 50 minuter om dagen bara på “slå upp och dokumentera”. Med det här arbetsflödet triggar du uppslagningen en gång (cirka en minut) och resultaten landar i Gmail automatiskt; väntan sker i bakgrunden, inte i dina händer. Du får tillbaka nästan hela den timmen.
Det här behöver du
- n8n-instans (prova n8n Cloud gratis)
- Alternativ för egen drift om du föredrar det (Hostinger fungerar bra)
- Åtkomst till CIRCL Hashlookup API för att köra hash-uppslagningar.
- Gmail för att ta emot triage-färdiga resultat.
- CIRCL-inloggningsuppgifter / token (hämta från dina åtkomstdetaljer för CIRCL Hashlookup)
Kunskapsnivå: Medel. Du kopplar in inloggningsuppgifter och bestämmer hur du vill formatera resultat och routa dem till Gmail.
Vill du inte sätta upp det här själv? Prata med en automationsexpert (gratis 15-minuters konsultation).
Så fungerar det
En AI-agent eller ett internt verktyg anropar din MCP-endpoint. Arbetsflödet börjar i MCP Server Trigger, som exponerar en URL som din agent kan anropa med en hash, en lista med hashar eller en begäran om extra kontext som parents/children.
n8n skickar rätt anrop till CIRCL Hashlookup. Beroende på vad som efterfrågades kör arbetsflödet motsvarande HTTP-request-operation (MD5, SHA1, SHA256, bulk-endpoints, skapa/hämta session osv.). $fromAI()-platshållarna gör att agenten kan skicka parametrar utan att du behöver mappa varje fält manuellt.
Resultaten normaliseras till något en människa kan lita på. Du kan behålla den ursprungliga API-strukturen för maximal precision, eller forma den till en kort sammanfattning (till exempel “känd/okänd, källa och relevant metadata”) så att den är läsbar i en e-posttråd.
Gmail tar emot slutresultatet. Istället för ännu en dashboard att övervaka kan du routa svaret till Gmail så att bevisningen hamnar bredvid larmkonversationen och enkelt kan vidarebefordras internt.
Du kan enkelt ändra Gmail-ämnesrad, mottagare och sammanfattningsformat så att det matchar dina triage-playbooks. Se hela implementationsguiden nedan för anpassningsalternativ.
Steg-för-steg-guide för implementering
Steg 1: Konfigurera MCP-triggern
Det här arbetsflödet startar med en MCP-serverendpoint som exponerar flera verktyg för hash-uppslag.
- Lägg till noden MCP Service Trigger på er canvas.
- Ställ in Path på
hashlookup-circl-mcp. - Behåll standardinställningarna för MCP om inte er server kräver en anpassad konfiguration.
Steg 2: Anslut verktyg för hash-uppslag
MCP-triggern exponerar flera HTTP request-verktyg för olika åtgärder för hash-uppslag. Dessa kopplas som AI-verktyg till triggern.
- Säkerställ att Lookup MD5 Value är ansluten till MCP Service Trigger som ett AI-verktyg och ställ in URL på
=https://hashlookup.circl.lu/lookup/md5/{{ $fromAI('md5', 'Md5', 'string') }}. - Säkerställ att Lookup SHA1 Value är ansluten till MCP Service Trigger och ställ in URL på
=https://hashlookup.circl.lu/lookup/sha1/{{ $fromAI('sha1', 'Sha1', 'string') }}. - Säkerställ att Lookup SHA256 Value är ansluten till MCP Service Trigger och ställ in URL på
=https://hashlookup.circl.lu/lookup/sha256/{{ $fromAI('sha256', 'Sha256', 'string') }}. - Ställ in Fetch DB Details URL på
=https://hashlookup.circl.lu/infoför databasmetadata.
Steg 3: Sätt upp bulk- och relationsuppslag
Konfigurera bulk-uppslag och relationsendpoints så att MCP-servern kan hantera batchfrågor och förfrågningar om hash-härkomst.
- För Bulk MD5 Lookup, ställ in Method på
POSToch URL på=https://hashlookup.circl.lu/bulk/md5. - För Bulk SHA1 Lookup, ställ in Method på
POSToch URL på=https://hashlookup.circl.lu/bulk/sha1. - Ställ in Retrieve SHA1 Children URL på
=https://hashlookup.circl.lu/children/{{ $fromAI('sha1', 'Sha1', 'string') }}/{{ $fromAI('count', 'Count', 'number') }}/{{ $fromAI('cursor', 'Cursor', 'string') }}. - Ställ in Retrieve SHA1 Parents URL på
=https://hashlookup.circl.lu/parents/{{ $fromAI('sha1', 'Sha1', 'string') }}/{{ $fromAI('count', 'Count', 'number') }}/{{ $fromAI('cursor', 'Cursor', 'string') }}.
$fromAI(...) kräver att MCP-klienten skickar de förväntade parametrarna (sha1, count, cursor). Om parametrar saknas blir URL:erna ogiltiga.Steg 4: Konfigurera endpoints för sessioner och statistik
Dessa noder ger sessionsspårning och användningsinsikter för tjänsten för hash-uppslag.
- Ställ in Generate Search Session URL på
=https://hashlookup.circl.lu/session/create/{{ $fromAI('name', 'Name', 'string') }}. - Ställ in Fetch Session Results URL på
=https://hashlookup.circl.lu/session/get/{{ $fromAI('name', 'Name', 'string') }}. - Ställ in Fetch Top Queries URL på
=https://hashlookup.circl.lu/stats/top.
Steg 5: Testa och aktivera ert arbetsflöde
Verifiera att MCP-endpointen svarar och att varje verktyg returnerar förväntad data.
- Klicka på Execute Workflow för att starta MCP Service Trigger och registrera verktygen.
- Från er MCP-klient, anropa ett verktyg som Lookup MD5 Value med en giltig
md5-parameter och bekräfta att JSON-svaret innehåller resultaten från hash-uppslaget. - Testa en bulkfråga med Bulk SHA1 Lookup och verifiera att svaret innehåller träffar för den angivna hash-arrayen.
- När testerna passerar, växla arbetsflödet till Active för att exponera MCP-servern i produktion.
Vanliga fallgropar
- Inloggningsuppgifter för CIRCL Hashlookup kan gå ut eller kräva specifika headers. Om anrop börjar fallera, kontrollera credential-detaljerna i n8n och bekräfta att din request fortfarande har förväntad autentisering.
- Om du använder Wait-noder eller extern rendering varierar processtider. Öka väntetiden om nedströmsnoder fallerar på tomma svar.
- Standardprompter i AI-noder är generiska. Lägg in er tonalitet tidigt, annars kommer du redigera outputar i all evighet.
Vanliga frågor
Cirka 30 minuter om din CIRCL- och Gmail-åtkomst är redo.
Nej. Du kopplar mest in inloggningsuppgifter och justerar några fält för hur du vill att e-postmeddelandet ska se ut.
Ja. n8n har ett gratis alternativ för egen drift och en gratis provperiod på n8n Cloud. Cloud-planer startar på 20 USD/månad för högre volym. Du behöver också räkna med kostnader för CIRCL Hashlookup-åtkomst om din användning kräver en betald plan.
Två alternativ: n8n Cloud (hanterat, enklast att komma igång) eller egen drift på en VPS. För egen drift är Hostinger VPS prisvärd och klarar n8n bra. Egen drift ger dig obegränsade körningar men kräver grundläggande serverhantering.
Ja, och det är en vanlig justering. I n8n ändrar du inställningarna i Gmail-noden så att den skickar till er delade inkorg (eller grupp) och justerar ämnesraden så att den innehåller hashen och uppslagsbedömningen. Många team anpassar även e-postens brödtext för att lägga till en kort rad med “rekommenderad åtgärd”, plus det råa CIRCL-svaret nedanför för spårbarhet. Om du använder en AI-agent uppströms, håll formateringen konsekvent så att människor snabbt kan skanna den.
Oftast handlar det om utgångna inloggningsuppgifter eller en saknad autentiseringsheader i HTTP request-konfigurationen. Uppdatera CIRCL-credentialn i n8n och kör sedan om en enskild lookup-nod för att bekräfta att du får ett giltigt svar. Om det fungerar för en hash men fallerar i bulk kan du slå i rate limits eller skicka felaktigt formaterade hashvärden (extra mellanslag och radbrytningar är vanliga bovar).
På n8n Cloud beror det på din plans månatliga körningar, medan egen drift främst begränsas av din server och CIRCL API-begränsningarna.
Ofta, ja. Det här arbetsflödet bygger på HTTP-anrop, villkorsstyrd routning och “verktygsliknande” operationer som helt enkelt är enklare att hantera i n8n, särskilt om du vill köra egen drift och slippa prissättning per uppgift. Zapier och Make kan fortfarande fungera om allt du behöver är “maila ett uppslagsresultat”, men det blir klumpigt när du vill ha bulk-endpoints, sessioner eller mer avancerad branching. Den andra stora skillnaden är kontroll: du kan behålla loggar, justera formatering och bygga ut verktygslådan utan att slåss med plattformsbegränsningar. Om du är osäker, prata med en automationsexpert och beskriv din triagevolym och var larmen kommer ifrån.
När det här väl är på plats slutar hash-kontroller vara en daglig avbrottsorsak. Arbetsflödet sköter de repetitiva uppslagningarna, och du kan lägga fokus på de bedömningar som faktiskt spelar roll.
Kontakta oss
Hör av dig, så diskuterar vi hur just din verksamhet kan dra nytta av alla fantastiska möjligheter som AI skapar.