تنزيل awesome threat intelligence - تنزيل رمز مصدر awesome threat intelligence

رهيبة التهديد

قائمة منسقة من موارد استخبارات التهديد الرائعة

تعريف موجز لذكاء التهديد: المعرفة القائمة على الأدلة ، بما في ذلك السياق ، والآليات ، والمؤشرات ، والآثار ، والمشورة القابلة للتنفيذ ، حول تهديد أو خطر حالي أو ناشئ على الأصول التي يمكن استخدامها لإبلاغ القرارات المتعلقة باستجابة الموضوع لهذا الخطر أو الخطر .

لا تتردد في المساهمة.

مصادر
تنسيقات
الأطر والمنصات
أدوات
البحث والمعايير والكتب

مصادر

توفر معظم الموارد المذكورة أدناه قوائم و/أو واجهات برمجة التطبيقات للحصول على معلومات محدثة (نأمل) فيما يتعلق بالتهديدات. يعتبر البعض هذه المصادر كذكاء تهديد ، تختلف الآراء. من الضروري وجود قدر معين من التحليل (الخاص بالمجال أو الأعمال الخاصة) لإنشاء ذكاء التهديد الحقيقي.

uSsaIpdb	easureipdb هو مشروع مخصص للمساعدة في مكافحة انتشار المتسللين ، والرسائل غير المرغوب فيها ، والنشاط المسيء على الإنترنت. تتمثل المهمة في جعل الويب أكثر أمانًا من خلال توفير قائمة أسود مركزية لمشرفي المواقع ومسؤولي النظام والأطراف المهتمة الأخرى للإبلاغ عن عناوين IP التي ارتبطت بنشاط ضار عبر الإنترنت والعثور عليها.
أليكسا تصل 1 مليون موقع	أفضل مليون موقع من Amazon (Alexa). لا تستخدم هذا كقائمة بيضاء.
مجموعات وعمليات ملائمة	جدول بيانات يحتوي على معلومات وذكاء حول المجموعات والعمليات والتكتيكات الملائمة.
قائمة حظر IP للدفاع الثنائي	أنظمة الدفاع الثنائية أنظمة المدفعية التهديد المخابرات وتغذية بانس بروتوكول الإنترنت.
ترتيب BGP	ترتيب ASNs التي لديها المحتوى الأكثر ضارة.
BOTNET TROACTER	يتتبع العديد من الروبوتات النشطة.
botvrij.eu	يوفر Botvrij.eu مجموعات مختلفة من IOCs مفتوحة المصدر يمكنك استخدامها في أجهزة الأمان الخاصة بك للكشف عن النشاط الضار المحتمل.
BruteForceBlocker	BruteForceBlocker هو برنامج نصي Perl يراقب سجلات SSHD الخاصة بالخادم ويحدد هجمات القوة الغاشمة ، والتي يستخدمها بعد ذلك لتكوين قواعد حظر جدار الحماية تلقائيًا وإعادة هذه IPS إلى موقع المشروع ، http://danger.rulez.sk/projects/BruteforceBlocker.Pblist.php.
C&C Tracker	خلاصة لعناوين IP المعروفة والفعالة وغير المخلوطة ، من Bambenek Consulting. يتطلب ترخيص للاستخدام التجاري.
certstream	في الوقت الفعلي دفق تحديث سجل الشفافية. راجع شهادات SSL عند إصدارها في الوقت الفعلي.
شهادات الخبيث في منتدى CCSS	فيما يلي قائمة بالشهادات الرقمية التي تم الإبلاغ عنها من قبل المنتدى على الأرجح المرتبطة بالبرامج الضارة لسلطات الشهادات المختلفة. تهدف هذه المعلومات إلى المساعدة في منع الشركات من استخدام الشهادات الرقمية لإضافة شرعية إلى البرامج الضارة وتشجيع الإلغاء السريع لهذه الشهادات.
قائمة جيش CI	مجموعة فرعية من قائمة نقاط CINS التجارية ، تركز على IPs ذات التصنيف الضعيف والتي لا توجد حاليًا على أدوات التهديد الأخرى.
مظلة سيسكو	القائمة البيضاء المحتملة من أفضل مليون موقع تم حلها بواسطة مظلة Cisco (كانت Opendns).
فحص الفيروس السحلي	CloudMersive VIRUS مسح ملفات واجهات برمجة التطبيقات ، عناوين URL ، وتخزين السحابة للفيروسات. إنهم يستفيدون من التوقيعات التي تم تحديثها بشكل مستمر لملايين التهديدات ، وقدرات المسح الضوئي المتقدمة عالية الأداء. الخدمة مجانية ، ولكنها تتطلب التسجيل لحساب لاسترداد مفتاح واجهة برمجة التطبيقات الشخصية الخاصة بك.
وحدة تحكم الحشود	أكبر CTI من مصادر الحشد ، تم تحديثها في الوقت الفعلي ، وذلك بفضل برنامج Crowdsec من الجيل التالي ومفتوح المصدر والمجاني والتعاون مع IDS/IPS. Crowdsec قادر على تحليل سلوك الزوار وتقديم استجابة مكيفة لجميع أنواع الهجمات. يمكن للمستخدمين مشاركة تنبيهاتهم حول التهديدات مع المجتمع والاستفادة من تأثير الشبكة. يتم جمع عناوين IP من هجمات حقيقية ولا تأتي حصريًا من شبكة مصيبة.
إطعام الذكاء الخالي من العلاج الإلكترونية	يوفر Cyber Cure خلاصات استخباراتية تهديد عبر الإنترنت مع قوائم بعناوين IP المصابة حاليًا والهجوم على الإنترنت. هناك قائمة بعناوين URL التي تستخدمها البرامج الضارة وقائمة ملفات التجزئة من البرامج الضارة المعروفة التي تنتشر حاليًا. يستخدم Cybercure أجهزة استشعار لجمع الذكاء بمعدل إيجابي منخفض للغاية. الوثائق التفصيلية متوفرة كذلك.
يتغذى ذكاء تهديد Cyware	تجلب لك خلاصات Intelligence التهديد الخاصة بـ Cyware بيانات التهديد القيمة من مجموعة واسعة من المصادر المفتوحة والموثوقة لتقديم دفق موحد من ذكاء التهديد القيمة والقابلة للتنفيذ. تتوافق خلاصات Intel الخاصة بنا بالكامل مع Stix 1.x و 2.0 ، مما يمنحك أحدث المعلومات حول تجزئة البرامج الضارة الخبيثة و IPS والمجالات التي تم الكشف عنها في جميع أنحاء العالم في الوقت الفعلي.
dataplane.org	DataPlane.org هو بيانات إنترنت تعمل بالطاقة المجتمعية والأغذية وموارد القياس للمشغلين ، من قبل المشغلين. نحن نقدم خدمة موثوقة وجديرة بالثقة دون أي تكلفة.
focsec.com	يوفر FocSec.com واجهة برمجة التطبيقات لاكتشاف VPNs والوكالة والروبوتات وطلبات TOR. تساعد البيانات الحديثة دائمًا في اكتشاف تسجيلات تسجيلات مشبوهة والاحتيال وسوء المعاملة. يمكن العثور على أمثلة رمز في الوثائق.
Digitalside تهديد التهديد	يحتوي على مجموعات من مؤشرات ذكاء التهديد السيبراني مفتوح المصدر ، معظمها تعتمد على تحليل البرامج الضارة وعناوين URL و IPS والمجالات. الغرض من هذا المشروع هو تطوير واختبار طرق جديدة لصيد وتحليل وجمع وتبادل IOCs لاستخدامها من قبل SOC/CSIRT/CERT/الأفراد مع جهد الحد الأدنى. تتم مشاركة التقارير بثلاث طرق: STIX2 و CSV و MISP. يتم نشر التقارير أيضًا في مستودع GIT للمشروع.
نطاقات البريد الإلكتروني المتاح	مجموعة من مجالات البريد الإلكتروني المجهولة أو المتاح بشكل شائع لخدمات البريد العشوائي/الإساءة.
مسارات DNS	مصدر ذكاء مجاني لمعلومات DNS الحالية والتاريخية ، معلومات WHOIS ، العثور على مواقع ويب أخرى مرتبطة ببعض IPs ، المعرفة والتقنيات الفرعية. هناك واجهة برمجة تطبيقات IP و Domain Intelligence متاحة أيضًا.
التهديدات الناشئة قواعد جدار الحماية	مجموعة من القواعد لعدة أنواع من جدران الحماية ، بما في ذلك IPTABLES و PF و PIX.
تهديدات ناشئة قواعد IDS	مجموعة من ملفات قواعد Snort و Suricata التي يمكن استخدامها للتنبيه أو الحظر.
exonerator	تحافظ خدمة exonerator على قاعدة بيانات لعناوين IP التي كانت جزءًا من شبكة TOR. إنه يجيب على السؤال عما إذا كان هناك ترحيل TOR يعمل على عنوان IP معين في تاريخ معين.
Exploitalert	قائمة أحدث مآثر تم إصدارها.
FastIntercept	يستضيف Intercept Security عددًا من قوائم سمعة IP المجانية من شبكة HoneyPot العالمية.
Zeus Tracker	تعقب Feodo Tracker.
قوائم IP Firehol	400+ خلاصات IP المتاحة للجمهور التي تم تحليلها لتوثيق تطورها ، خريطة الجيولوجية ، عصر IPS ، سياسة الاستبقاء ، التداخل. يركز الموقع على الجريمة الإلكترونية (الهجمات ، سوء المعاملة ، البرامج الضارة).
الاحتيال	Fraudguard هي خدمة مصممة لتوفير طريقة سهلة للتحقق من الاستخدام من خلال جمع وحركة الإنترنت في الوقت الفعلي باستمرار.
Greynoise	يقوم Greynoise بجمع وتحليل البيانات على نشاط المسح الضوئي على مستوى الإنترنت. يجمع بيانات عن الماسحات الضوئية الحميدة مثل shodan.io ، بالإضافة إلى ممثلين ضارين مثل SSH و Telnet ديدان.
العسل	يوفر HoneyDB بيانات في الوقت الفعلي لنشاط Honeypot. تأتي هذه البيانات من Honeypots المنشورة على الإنترنت باستخدام Honeypy Honeypot. بالإضافة إلى ذلك ، يوفر HoneyDB وصول API إلى نشاط Honeypot الذي تم جمعه ، والذي يتضمن أيضًا بيانات مجمعة من خلاصات Twitter المختلفة.
مياه الجليد	12،805 قواعد يارا الحرة التي أنشأتها Project IceWater.
InfoSec - Cert -PA	جمع عينات البرمجيات الضارة ، وخدمة القائمة القائمة ، وقاعدة بيانات نقاط الضعف وأكثر من ذلك. تم إنشاؤها وإدارتها بواسطة CERT-PA.
مختبرات التحقيق	بوابة بيانات مفتوحة وتفاعلية ومدفوعة API للباحثين الأمن. ابحث في مجموعة كبيرة من عينات الملفات ، ومعلومات السمعة الكلية ، و IOCs المستخرجة من المصادر العامة. قم بزيادة تطوير YARA باستخدام الأدوات لتوليد المشغلات ، والتعامل مع HEX مختلطة ، وإنشاء تعبيرات منتظمة متوافقة مع BASE64.
I-blocklist	تحافظ I-BlockList على عدة أنواع من القوائم التي تحتوي على عناوين IP التي تنتمي إلى فئات مختلفة. بعض هذه الفئات الرئيسية تشمل البلدان ومقدمي خدمات الإنترنت والمنظمات. تتضمن القوائم الأخرى هجمات الويب و TOR وبرامج التجسس والوكلاء. كثيرون حرة للاستخدام ، ومتاح بتنسيقات مختلفة.
ipsum	IPSUM عبارة عن خلاصة استخباراتية للتهديد تعتمد على 30+ قوائم مختلفة متوفرة للجمهور من عناوين IP المشبوهة و/أو الضارة. يتم استرداد جميع القوائم تلقائيًا وتحليلها على أساس يومي (24 ساعة) ويتم دفع النتيجة النهائية إلى هذا المستودع. القائمة مصنوعة من عناوين IP جنبا إلى جنب مع عدد إجمالي حدوث قائمة (أسود) (لكل). تم إنشاؤها وإدارتها بواسطة Miroslav Stampar.
جيمس برين تهديد المخابرات	يوفر Jamesbrine خلاصات استخباراتية للتهديد اليومية لعناوين IP الضارة من مصهرات العسل السحابية والبنية التحتية الخاصة التي تغطي مجموعة متنوعة من البروتوكولات بما في ذلك SSH و FTP و RDP و GIT و SNMP و Redis. تتوفر IOCs في اليوم السابق في STIX2 بالإضافة إلى IOCs إضافية مثل URIs المشبوهة والمجالات المسجلة حديثًا والتي لديها عملية استخدام عالية في حملات التصيد.
تغذي بيانات التهديد Kaspersky	تم تحديثه بشكل مستمر وإبلاغ عملك أو عملائك بالمخاطر والآثار المرتبطة بالتهديدات الإلكترونية. تساعدك البيانات في الوقت الفعلي على تخفيف التهديدات بشكل أكثر فعالية والدفاع ضد الهجمات حتى قبل إطلاقها. تحتوي موجزات البيانات التجريبية على مجموعات مقطوعة من IOCs (تصل إلى 1 ٪) مقارنة مع تلك التجارية
ماجستير مليون	قائمة بيضاء محتملة من أفضل مليون موقع ويب ، كما احتلت ماجستيك. يتم طلب المواقع من خلال عدد الشبكات الفرعية المرجعية. يمكن العثور على المزيد حول الترتيب على مدونتهم.
Maldatabase	تم تصميم Maldatabase لمساعدة البرامج الضارة على علوم البيانات والتهديدات. تحتوي البيانات المقدمة على معلومات جيدة حول المجالات التي تم الاتصال بها ، من بين مجالات أخرى ، قائمة بالعمليات التي تم تنفيذها والملفات التي تم إسقاطها بواسطة كل عينة. تتيح لك هذه الخلاصات تحسين أدوات المراقبة والأمان. الخدمات المجانية متاحة للباحثين والطلاب الأمن.
ملبيا	الهدف الأساسي من Malpedia هو توفير مورد لتحديد الهوية السريعة والسياق القابل للتنفيذ عند التحقيق في البرامج الضارة. يجب أن يضمن الانفتاح على المساهمات المنسقة مستوى مسؤولًا من الجودة من أجل تعزيز الأبحاث الهادفة والقابلة للتكرار.
Malshare.com	مشروع Malshare هو مستودع للبرامج الضارة العامة يوفر للباحثين وصولًا مجانيًا إلى العينات.
Maltiverse	مشروع Maltiverse هو قاعدة بيانات IOC كبيرة ومخصبة حيث من الممكن إجراء استعلامات معقدة ، وتجمعات للتحقيق في حملات البرامج الضارة والبنية التحتية. كما أن لديها خدمة استعلام كبيرة IOC.
MalwareBazaar	MalwareBazaar هو مشروع من الإساءة. وهدف مشاركة عينات البرامج الضارة مع مجتمع InfoSec ، وبائعي AV ومقدمي المعلومات الاستخباراتية.
قائمة مجال البرامج الضارة	قائمة قابلة للبحث من المجالات الضارة التي تؤدي أيضًا عمليات البحث والمسجلين العكسيين ، وتركز على التصيد وأحصنة طروادة ومجموعات الاستغلال.
دورية البرامج الضارة	توفر دورية البرمجيات الضارة قوائم الحظر ، وخلاصات البيانات وذكاء التهديد للشركات من جميع الأحجام. نظرًا لأن تخصصنا هو ذكاء التهديد السيبراني ، فإن جميع مواردنا تذهب إلى التأكد من أنها من أعلى مستويات الجودة الممكنة. نعتقد أن فريق الأمن وأدواته جيدة فقط مثل البيانات المستخدمة. هذا يعني أن خلاصاتنا لا تمتلئ بمؤشرات كشطية غير محددة. نحن نقدر الجودة على الكمية.
البرمجيات الضارة-التحليل	تركز هذه المدونة على حركة مرور الشبكة المتعلقة بالتهابات البرامج الضارة. يحتوي على تمارين تحليل حركة المرور ، والدروس التعليمية ، وعينات البرامج الضارة ، وملفات PCAP لحركة مرور الشبكات الخبيثة ، ومشاركات المدونة الفنية مع الملاحظات.
malwaredomains.com	ينشئ مشروع DNS-BH ويحافظ على قائمة بالمجالات المعروفة باستخدام البرامج الضارة وبرامج التجسس. يمكن استخدام هذه للكشف وكذلك الوقاية (طلبات DNS Sinkholing).
Metadefender Cloud	يحتوي Metadefender Cloud Threat Intelligence على توقيعات تجزئة البرامج الضارة الجديدة ، بما في ذلك MD5 و SHA1 و SHA256. تم رصد هذه التجزئة الضارة الجديدة بواسطة Metadefender Cloud خلال الـ 24 ساعة الماضية. يتم تحديث الخلاصات يوميًا باستخدام البرامج الضارة التي تم اكتشافها حديثًا والإبلاغ عنها لتوفير ذكاء التهديد القابل للتنفيذ في الوقت المناسب.
مشروع Netlab Opendata	تم تقديم مشروع NetLab Opendata للجمهور أولاً في ISC '2016 في 16 أغسطس 2016. نقدم حاليًا موجزات بيانات متعددة ، بما في ذلك DGA و EK و Marai و Mirai C2 و Mirai-Scanner و Hajime-Scanner و Drdos Reflector.
nothink!	SNMP ، SSH ، Telnet Blackliced IPS من ماتيو كانتوني هونيبس
خدمات Normshield	توفر خدمات Normshield الآلاف من معلومات المجال (بما في ذلك معلومات WHOIS) التي قد تأتي منها هجمات التصيد المحتملة. خدمات الاختراق والقائمة السوداء متوفرة أيضا. هناك تسجيل مجاني للخدمات العامة للمراقبة المستمرة.
تهديدات Novasense	Novasense هو مركز استخبارات التهديدات ، ويوفر رؤى وأدوات لحماية التهديد الاستباقية وتخفيف الهجوم. تحمي Novasense العملاء من جميع الأحجام من المهاجمين ، وسوء المعاملة ، والروبوتات ، وهجمات DOS والمزيد.
الملاحظة	قارئ RSS لفرق الأمن السيبراني. تحويل أي مدونة إلى ذكاء التهديد منظم وقابل للتنفيذ.
خلاصات مفتوحة	يتلقى OpenPhish عناوين URL من تدفقات متعددة وتحليلها باستخدام خوارزميات اكتشاف التصيد الاحتياطية الخاصة بها. هناك عروض مجانية وتجارية متاحة.
0xSI_F33D	خدمة مجانية لاكتشاف مجالات التصيد الخالص والبرامج الضارة ، IPS المدرجة في القائمة السوداء داخل الفضاء الإلكتروني البرتغالي.
Phishtank	يقدم Phishtank قائمة بعناوين URL المشتبه في التصيد. تأتي بياناتهم من التقارير البشرية ، لكنها أيضًا تستوعب الخلاصات الخارجية حيثما أمكن ذلك. إنها خدمة مجانية ، لكن التسجيل لمفتاح API ضروري في بعض الأحيان.
Pickupstix	Pickupstix عبارة عن تغذية من ذكاء التهديد السيبراني المجاني والمفتوح وغير المالي. حاليًا ، يستخدم Pickupstix ثلاثة علف عام ويوزع حوالي 100 قطعة جديدة من الذكاء كل يوم. يترجم PickupStix الخلاصات المختلفة إلى Stix ، والتي يمكن أن تتواصل مع أي خادم Taxili. البيانات مجانية للاستخدام وهي وسيلة رائعة للبدء في استخدام ذكاء التهديد السيبراني.
إنقاذ التهديد الخلاصة Intel	[Res] Cure هو مشروع استخبارات التهديد المستقل الذي يقوم به فريق Fruxlabs Crack لتعزيز فهمهم للهندسة المعمارية الأساسية للأنظمة الموزعة ، وطبيعة ذكاء التهديد وكيفية جمع وتخزين وتوزيع ذكاء التهديد بكفاءة. يتم إنشاء الأعلاف كل 6 ساعات.
RST Cloud Threat Feed Intel	المؤشرات المجمعة للتسوية التي تم جمعها وعبرها من مصادر متعددة مفتوحة ومدعومة من المجتمع ، المخصب والمرتبة باستخدام منصة الذكاء لدينا.
روتجرز مدرجة في القائمة السوداء	يتم إنشاء قائمة IP للمهاجمين SSH Brute Force من مجموعة من IPs المرصودة محليًا و IPs القديمة المسجلة في badip.com و blocklist.de
بلا نطاقات مشبوهة	تتتبع قوائم تهديد المجالات المشبوهة من قبل Sans ICS المجالات المشبوهة. يوفر 3 قوائم مصنفة على أنها حساسية عالية أو متوسطة أو منخفضة ، حيث تحتوي قائمة الحساسية العالية على إيجابيات كاذبة أقل ، في حين أن قائمة الحساسية المنخفضة مع المزيد من الإيجابيات الخاطئة. هناك أيضا القائمة البيضاء المعتمدة من المجالات. أخيرًا ، هناك قائمة كتلة IP مقترحة من Dshield.
SecurityScorecard IOCS	الوصول العام للوصول إلى IOCs من منشورات المدونات الفنية والتقارير من قبل SecurityScoreCard.
stixify	محلل استخبارات التهديد الآلي الخاص بك. استخراج الجهاز الذكاء القابل للقراءة من البيانات غير المهيكلة.
قاعدة التوقيع	قاعدة بيانات للتوقيعات المستخدمة في أدوات أخرى بواسطة Neo23x0.
مشروع Spamhaus	يحتوي مشروع SPAMHAUS على عدة أدوات تهديد مرتبطة بنشاط البريد العشوائي والبرامج الضارة.
Sophoslabs intelix	Sophoslabs Intelix هي منصة استخبارات التهديد التي تعمل على تشغيل منتجات Sophos والشركاء. يمكنك الوصول إلى الذكاء استنادًا إلى تجزئة الملف وعنوان URL وما إلى ذلك بالإضافة إلى إرسال عينات للتحليل. من خلال REST API's ، يمكنك بسهولة إضافة ذكاء التهديد هذا إلى أنظمتك.
تحفيز	يوفر SPUR الأدوات والبيانات للكشف عن VPNs والوكلاء السكني والروبوتات. تتيح الخطة الحرة للمستخدمين البحث عن عنوان IP والحصول على تصنيفه ، ومزود VPN ، والمعدات الجغرافية الشائعة وراء IP ، وبعض السياق الأكثر فائدة.
SSL القائمة السوداء	SSL Blacklist (SSLBL) هو مشروع يحتفظ به Aust.Ch. الهدف من ذلك هو توفير قائمة بشهادات SSL "السيئة" التي تم تحديدها بواسطة Aust.Ch أن ترتبط بأنشطة البرامج الضارة أو الروبوتات. يعتمد SSLBL على بصمات شهادات SSL SSL الخبيثة ويقدم العديد من القوائم السوداء
Statvoo Top 1 مليون موقع	القائمة البيضاء المحتملة من أفضل مليون موقع ويب ، كما احتلت STATVOO.
Strongarm ، بواسطة شبكات percipient	StrongArm هو ثقب الأسود DNS الذي يتخذ إجراءً على مؤشرات التسوية عن طريق منع أمر ومراقبة البرامج الضارة. يجمع Strongarm خلاصات المؤشرات المجانية ، ويتكامل مع الخلاصات التجارية ، ويستخدم خلاصات IOC الخاصة بـ Percipient ، ويدير مستقبلات DNS وواجهة برمجة التطبيقات لاستخدامها لحماية شبكتك وعملك. Strongarm مجاني للاستخدام الشخصي.
قواعد سيم	قاعدة بيانات هندسة الكشف الخاصة بك. عرض وتعديل ونشر قواعد SIEM لصيد التهديد والكشف.
تالوس	تعد Cisco Talos Intelligence Group واحدة من أكبر فرق الاستخبارات التجارية التجارية في العالم ، وتتألف من باحثين ومحللين ومهندسين على مستوى عالمي. يتم دعم هذه الفرق من خلال القياس عن بعد لا تضاهى وأنظمة متطورة لإنشاء ذكاء التهديد الدقيق والسريع والقابل للتنفيذ لعملاء ومنتجات وخدمات Cisco. Talos يدافع عن عملاء Cisco ضد التهديدات المعروفة والناشئة ، واكتشف نقاط الضعف الجديدة في البرامج المشتركة ، وتبادل التهديدات في البرية قبل أن يتمكنوا من إيذاء الإنترنت بشكل عام. يحتفظ Talos بمجموعات القواعد الرسمية لـ Snort.org و Clamav و Spamcop ، بالإضافة إلى إصدار العديد من أدوات البحث والتحليل مفتوحة المصدر. يوفر Talos سهلة الاستخدام واجهة المستخدم للتحقق من سمعة الملاحظة.
التهديد	Threatfeeds.io يسرد خلاصات ومصادر التهديد المجانية والمفتوحة المصدر وتوفر روابط تنزيل مباشرة وملخصات حية.
Thatfox.abuse.ch	Threatfox هي منصة مجانية من الإساءة. وهل بهدف مشاركة مؤشرات التسوية (IOCs) المرتبطة بالبرامج الضارة مع مجتمع InfoSec وبائعي AV ومقدمي المخابرات التهديد.
المدونات والتقارير الفنية ، عن طريق التهديد	يتم ملء هذا المصدر مع المحتوى من أكثر من 90 من المصادر المفتوحة ، والمدونة الأمان. يتم تحليل IOCs (مؤشرات التسوية) من كل مدونة ويتم تنسيق محتوى المدونة في تخفيض التنفيذ.
تشويش التهديد	تهديدات التهديد هي خدمة REST API تتيح للمطورين ومهندسي الأمن وغيرهم من المتخصصين في تكنولوجيا المعلومات الوصول إلى بيانات ذكاء التهديد عالية الجودة من مجموعة متنوعة من المصادر ودمجها في تطبيقاتهم مع الغرض الوحيد من الكشف عن النشاط الخبيث وحظره.
التهديد	تم إنشاء Threatminer لتحرير المحللين من جمع البيانات وتزويدهم بوابة يمكنهم تنفيذ مهامهم ، من القراءة إلى التقارير إلى محور وإثراء البيانات. إن التركيز على التهديد لا يتعلق فقط بمؤشرات التسوية (IOC) ولكن أيضًا لتزويد المحللين بالمعلومات السياقية المتعلقة بـ IOC التي ينظرون إليها.
عناوين البريد الإلكتروني للبرامج الضارة WSTNPHX	عناوين البريد الإلكتروني التي تستخدمها البرامج الضارة التي جمعتها Vvestron Phoronix (WSTNPHX)
Underatch.Today	إن Underatch هو منصة ذكاء مجاني ، فهي تشارك IPS ومعلومات حول الأحداث والهجمات المشبوهة. التسجيل مجاني.
urlhaus	Urlhaus هو مشروع من إساءة الاستخدام. وهدف مشاركة عناوين URL الضارة التي يتم استخدامها لتوزيع البرامج الضارة.
فيروس	VirusShare.com هو مستودع لعينات البرامج الضارة لتزويد الباحثين الأمنيين ، ومستجيبي الحوادث ، ومحللي الطب الشرعي ، والوصول الفضولي إلى عينات من الكود الخبيث. يتم منح الوصول إلى الموقع عن طريق الدعوة فقط.
yara-roles	مستودع مفتوح المصدر مع توقيعات مختلفة من YARA يتم تجميعها وتصنيفها وتبقيها حتى الآن قدر الإمكان.
1ST Dual Stack Threat Feed بواسطة Mrlooquer	قام Mrlooquer بإنشاء أول تغذية التهديد التي تركز على الأنظمة ذات المكدس المزدوج. نظرًا لأن بروتوكول IPv6 بدأ في أن يكون جزءًا من الاتصالات الضارة والاحتيال ، فمن الضروري اكتشاف التهديدات في كلا البروتوكولات (IPv4 و IPv6).

تنسيقات

تنسيقات موحدة لتبادل ذكاء التهديد (معظمها IOCs).

كابيك	تعداد نمط الهجوم المشترك وتصنيفه (CAPEC) هو تصنيف شامل للقسام والتصنيف للهجمات المعروفة التي يمكن استخدامها من قبل المحللين والمطورين والمختبرين والمعلمين لتعزيز فهم المجتمع وتعزيز الدفاعات.
COBOBLE	توفر لغة التعبير السيبراني الملاحظة (CYBOX) بنية مشتركة لتمثيل الملاحظات السيبرانية عبر المجالات التشغيلية للأمن السيبراني للمؤسسة والتي تعمل على تحسين الاتساق والكفاءة وقابلية التشغيل البيني للأدوات والعمليات المنشورة ، بالإضافة إلى زيادة الوعي الظرفي العام عن طريق تمكين إمكانية المشاركة التفصيلية للسيارات ، والتشكيل ، والتحليل ، والتحليل.
Iodef (RFC5070)	يحدد تنسيق تبادل الكائن الحادث (IODEF) تمثيل بيانات يوفر إطارًا لمشاركة المعلومات التي يتم تبادلها عادةً من قبل فرق الاستجابة لحوادث أمان الكمبيوتر (CSIRTS) حول حوادث أمان الكمبيوتر.
IDMEF (RFC4765)	التجريبي - الغرض من تنسيق تبادل رسائل الكشف عن التسلل (IDMEF) هو تحديد تنسيقات البيانات وإجراءات التبادل لتبادل المعلومات ذات الاهتمام لأنظمة الكشف عن التسلل وأنظمة الإدارة التي قد تحتاج إلى التفاعل معها.
مايك	تهدف مشاريع تعداد وتوصيف السمات الخبيثة (MAEC) إلى إنشاء وتوفير لغة موحدة لمشاركة المعلومات المنظمة حول البرامج الضارة على أساس سمات مثل السلوكيات والتحف وأنماط الهجوم.
openc2	OASIS Open Command and Control (OPENC2). سوف يبني OpenC2 TC جهوده على القطع الأثرية التي تم إنشاؤها بواسطة منتدى OpenC2. قبل إنشاء هذا TC والمواصفات ، كان منتدى OpenC2 مجتمعًا من أصحاب المصلحة في مجال الأمن السيبراني الذي تم تسهيله من قبل وكالة الأمن القومي (NSA). تم استئجار OPENC2 TC لصياغة المستندات أو المواصفات أو المعجم أو القطع الأثرية الأخرى لتلبية احتياجات قيادة الأمن السيبراني والتحكم بها بطريقة موحدة.
Stix 2.0	لغة تعبير معلومات التهديد المنظمة (STIX) هي عبارة عن بنية موحدة لتمثيل معلومات التهديد السيبراني. تعتزم لغة STIX نقل مجموعة كاملة من معلومات التهديد السيبراني المحتملة وتسعى جاهدة لتكون معبرة ومرنة وقابلة للتمديد وقابلة للتوسعة. لا يسمح STIX فقط بحقول الأدوات المنحدرة ، ولكنها توفر أيضًا ما يسمى آليات الاختبار التي توفر وسائل لتضمين العناصر الخاصة بالأداة ، بما في ذلك OpenIOC و YARA و SNORT. تم أرشفة Stix 1.x هنا.
تاكسي	يحدد المعيار الموثوق للموثوقة لمعلومات المؤشرات (TACKI) مجموعة من الخدمات وتبادل الرسائل ، عند تنفيذها ، تمكين مشاركة معلومات التهديد السيبراني القابلة للتنظيم عبر حدود المنظمة وحدود المنتج/الخدمة. تحدد Taxio المفاهيم والبروتوكولات وتبادل الرسائل لتبادل معلومات التهديد السيبراني للكشف عن التهديدات السيبرانية والوقاية منها وتخفيفها.
فيريس	المفردات لتسجيل الأحداث ومشاركة الحوادث (Veris) هي مجموعة من المقاييس المصممة لتوفير لغة مشتركة لوصف الحوادث الأمنية بطريقة منظمة وقابلة للتكرار. Veris هي استجابة لواحد من التحديات الأكثر أهمية والاستمرار في صناعة الأمن - عدم وجود معلومات عالية الجودة. بالإضافة إلى توفير تنسيق منظم ، تقوم Veris أيضًا بجمع بيانات من المجتمع للإبلاغ عن الانتهاكات في تقرير تحقيقات خرق Verizon (DBIR) ونشر قاعدة البيانات هذه عبر الإنترنت في github ropository.org.

الأطر والمنصات

الأطر والمنصات والخدمات لجمع وتحليل وإنشاء وتبادل ذكاء التهديد.

upithhelper	easurehelper هو إطار عمل مفتوح المصدر لتلقي وإعادة توزيع خلاصات الإساءة والتهديد Intel.
سوء المعاملة	مجموعة أدوات لتلقي المستخدمين النهائيين ومعالجتهم وربطهم وإخطارهم بتقارير الإساءة ، وبالتالي استهلاك خلاصات الاستخبارات التهديد.
AIS	تتيح قدرة مشاركة المؤشرات الآلية المجانية للأمن والبنية التحتية (CISA) على تبادل مؤشرات التهديد السيبراني بين الحكومة الفيدرالية والقطاع الخاص بسرعة الآلة. مؤشرات التهديد هي أجزاء من المعلومات مثل عناوين IP الضارة أو عنوان المرسل بريدًا إلكترونيًا تخيلًا (على الرغم من أنها يمكن أن تكون أيضًا أكثر تعقيدًا).
الملتحي المنتقم	أسرع طريقة لاستهلاك ذكاء التهديد. خليفة لـ CIF.
شبكة تبادل التهديد بلويف	يسمح للمشاركين بمشاركة مؤشرات التهديد مع المجتمع.
القشرة	يتيح Cortex ملاحظات ، مثل IPS ، عناوين البريد الإلكتروني ، عناوين URL ، أسماء المجال ، الملفات أو التجزئة ، لتحليلها واحدًا تلو الآخر أو في الوضع بالجملة باستخدام واجهة ويب واحدة. تعمل واجهة الويب كواجهة أمامية للعديد من المحللين ، مما يزيل الحاجة إلى دمجها بنفسك أثناء التحليل. يمكن للمحللين أيضًا استخدام Cortex Rest API لأتمتة أجزاء من تحليلهم.
كريت	CRITS هي منصة توفر للمحللين وسائل لإجراء أبحاث تعاونية في البرامج الضارة والتهديدات. يتم توصيله بمستودع بيانات الذكاء المركزي ، ولكن يمكن أيضًا استخدامه كمثيل خاص.
CIF	يتيح لك إطار الذكاء الجماعي (CIF) الجمع بين معلومات التهديد الخبيثة المعروفة من العديد من المصادر واستخدام هذه المعلومات من أجل الأشعة تحت الحمراء والكشف والتخفيف. رمز متاح على جيثب.
CTIX	CTIX عبارة عن منصة ذكاء ذكاء ذكي لخادم عميل (TIP) للابتلاع والإثراء والتحليل والمشاركة ثنائية الاتجاه لبيانات التهديد داخل شبكتك الموثوق بها.
منصة Eclecticiq	منصة Eclecticiq هي منصة استخبارات التهديد (TIP) القائمة على Stix/Taxio تمكن المحللين من التهديدات من إجراء تحقيقات أسرع وأفضل وأعمق أثناء نشر الذكاء في سرعة الآلة.
intelmq	Intelmq هو حل لتجهيزات Certs لجمع ومعالجة الخلاصات الأمنية ، Pastebins ، التغريدات باستخدام بروتوكول قائمة انتظار الرسائل. إنها مبادرة مدفوعة بالمجتمع تسمى IHAP (مشروع أتمتة معالجة الحوادث) والتي تم تصميمها من الناحية المفاهيمية من قبل الشركات الأوروبية خلال العديد من أحداث InfoSec. هدفها الرئيسي هو إعطاء المستجيبين للحوادث وسيلة سهلة لجمع ومعالجة ذكاء التهديد وبالتالي تحسين عمليات معالجة الحوادث.
intelowl	Intel Owl هو حل OSINT للحصول على بيانات ذكاء التهديد حول ملف معين أو عنوان IP أو مجال من واجهة برمجة تطبيقات واحدة على نطاق واسع. يتكون Intel Owl من محلل يمكن تشغيله لاسترداد البيانات من المصادر الخارجية (مثل virustotal أو upsustiPDB) أو لتوليد Intel من المحللين الداخليين (مثل Yara أو oletools). يمكن دمجها بسهولة في مكدتك من أدوات الأمان (Pyintelowl) لأتمتة الوظائف المشتركة التي عادة ما يتم تنفيذها ، على سبيل المثال ، من قبل محللي SOC يدويًا.
بوابة استخبارات التهديد Kaspersky	موقع ويب يوفر قاعدة للمعرفة تصف التهديدات الإلكترونية ، والأشياء المشروعة ، وعلاقاتهم ، يجمعون في خدمة ويب واحدة. يوفر لك الاشتراك في بوابة التهديد التهديد الخاصة بـ Kaspersky Lab نقطة دخول واحدة إلى أربع خدمات تكميلية: خلاصات بيانات التهديد Kaspersky ، وتقارير ذكاء التهديد ، و Lookup Kaspersky That ، وصندوق أبحاث Kaspersky ، وكلها متوفرة بتنسيقات قابلة للقراءة البشرية.
Malstrom	يهدف Malstrom إلى أن يكون مستودعًا لتتبع التهديدات والتحف الجنائية ، ولكن أيضًا يخزن قواعد وملاحظات Yara للتحقيق. ملاحظة: تم أرشفة مشروع GitHub (لم يتم قبول مساهمات جديدة).
ماناتي	يساعد مشروع Manati محلل التهديد من خلال توظيف تقنيات التعلم الآلي التي تجد علاقات واستنتاجات جديدة تلقائيًا.
مانتيس	إن التحليل القائم على النموذج لمصادر ذكاء التهديد (Mantis) يدعم إطار إدارة التهديدات السيبرانية إدارة الاستخبارات الإدارية لإدارة ذكاء التهديد السيبراني المعبر عنه في مختلف اللغات القياسية ، مثل Stix و Cybox. إنه ليس * جاهزًا للإنتاج على نطاق واسع.
Megatron	Megatron هي أداة تنفذها CERT-SE التي تجمع وتحليل IPs السيئة ، يمكن استخدامها لحساب الإحصاءات وتحويل وتحليل ملفات السجل وفي المعاملة والتعامل مع الحوادث.
minemeld	إطار معالجة ذكاء التهديد القابل للتمديد أنشأ شبكات بالو ألتو. يمكن استخدامه لمعالجة قوائم المؤشرات وتحويلها و/أو تجميعها للاستهلاك من خلال البنية التحتية لإنفاذ إنفاذ الطرف الثالث.
MISP	منصة مشاركة معلومات البرامج الضارة (MISP) هي حل برمجي مفتوح المصدر لجمع مؤشرات الأمن السيبراني وتخزينها وتوزيعها ومشاركتها.
N6	N6 (Exchange Security Accore) هو نظام لجمع وإدارة وتوزيع معلومات الأمان على نطاق واسع. يتم تحقيق التوزيع من خلال واجهة برمجة تطبيقات REST بسيطة وواجهة ويب يمكن للمستخدمين المعتمدين استخدامها لتلقي أنواع مختلفة من البيانات ، وخاصة معلومات حول التهديدات والحوادث في شبكاتهم. تم تطويره بواسطة CERT Polska.
opencti	تتيح Opencti ، منصة ذكاء التهديد السيبراني المفتوح ، للمؤسسات إدارة المعرفة والملاحظات على التهديد عبر الإنترنت. هدفها هو تنظيم وتنظيم وتصور المعلومات التقنية وغير التقنية حول التهديدات الإلكترونية. يتم تنظيم البيانات حول مخطط المعرفة بناءً على معايير STIX2. يمكن دمج OpenCti مع الأدوات والمنصات الأخرى ، بما في ذلك MISP و theHive و Miter ATT & CK ، AO
Openioc	OpenIOC هو إطار مفتوح لتبادل ذكاء التهديد. تم تصميمه لتبادل معلومات التهديد داخليًا وخارجيًا بتنسيق قابل للآلة.
Opentaxii	Opentaxii هو تطبيق Python قوي لخدمات Taxio يقدم مجموعة ميزات غنية وواجهة برمجة تطبيقات بيثونية ودية مصممة على رأس تطبيق مصمم جيدًا.
Ostrica	إطار عمل مفتوح المصدر الموجهة نحو المكون الإضافي لجمع وتصور معلومات ذكاء التهديد.
OTX - تبادل التهديد المفتوح	يوفر Elivault Open That Exchange (OTX) وصولاً مفتوحًا إلى مجتمع عالمي من الباحثين في التهديد والمهنيين الأمن. يوفر بيانات التهديد التي تم إنشاؤها بواسطة المجتمع ، وتمكّن الأبحاث التعاونية ، وتتم أتمتة عملية تحديث البنية التحتية للأمن الخاصة بك مع بيانات التهديد من أي مصدر.
تبادل شريك التهديد المفتوح	يتكون Exchange Exchange (OPENTPX) الشريكة المفتوحة من تنسيق مفتوح المصدر وأدوات لتبادل بيانات ذكاء التهديدات القابلة للقراءة الآلي وعمليات أمان الشبكة. إنه تنسيق قائم على JSON يسمح بمشاركة البيانات بين الأنظمة المتصلة.
passivetotal	يعد منصة Passivetotal التي تقدمها RiskIQ منصة تحليل التهديدات والتي توفر للمحللين أكبر قدر ممكن من البيانات من أجل منع الهجمات قبل حدوثها. يتم تقديم عدة أنواع من الحلول ، وكذلك عمليات التكامل (APIs) مع أنظمة أخرى.
نابض	Pulsedive هي منصة ذكاء تهديد مجاني ومجتمعي تستهلك خلاصات مفتوحة المصدر ، وإثراء IOCs ، وتشغيلها من خلال خوارزمية تسجيل المخاطر لتحسين جودة البيانات. يتيح للمستخدمين إرسال IOCs والبحث عنها وربطها وتحديثها ؛ يسرد "عوامل الخطر" لسبب ارتفاع مخاطر اللجنة الأولمبية الدولية ؛ and provides a high level view of threats and threat activity.
Recorded Future	Recorded Future is a premium SaaS product that automatically unifies threat intelligence from open, closed, and technical sources into a single solution. Their technology uses natural language processing (NLP) and machine learning to deliver that threat intelligence in real time — making Recorded Future a popular choice for IT security teams.
Scumblr	Scumblr is a web application that allows performing periodic syncs of data sources (such as Github repositories and URLs) and performing analysis (such as static analysis, dynamic checks, and metadata collection) on the identified results. Scumblr helps you streamline proactive security through an intelligent automation framework to help you identify, track, and resolve security issues faster.
STAXX (Anomali)	Anomali STAXX™ gives you a free, easy way to subscribe to any STIX/TAXII feed. Simply download the STAXX client, configure your data sources, and STAXX will handle the rest.
stoQ	stoQ is a framework that allows cyber analysts to organize and automate repetitive, data-driven tasks. It features plugins for many other systems to interact with. One use case is the extraction of IOCs from documents, an example of which is shown here, but it can also be used for deobfuscationg and decoding of content and automated scanning with YARA, for example.
TARDIS	The Threat Analysis, Reconnaissance, and Data Intelligence System (TARDIS) is an open source framework for performing historical searches using attack signatures.
ThreatConnect	ThreatConnect is a platform with threat intelligence, analytics, and orchestration capabilities. It is designed to help you collect data, produce intelligence, share it with others, and take action on it.
ThreatCrowd	ThreatCrowd is a system for finding and researching artefacts relating to cyber threats.
ThreatPipes	Stay two steps ahead of your adversaries. Get a complete picture of how they will exploit you. ThreatPipes is a reconnaissance tool that automatically queries 100's of data sources to gather intelligence on IP addresses, domain names, e-mail addresses, names and more. You simply specify the target you want to investigate, pick which modules to enable and then ThreatPipes will collect data to build up an understanding of all the entities and how they relate to each other.
ThreatExchange	Facebook created ThreatExchange so that participating organizations can share threat data using a convenient, structured, and easy-to-use API that provides privacy controls to enable sharing with only desired groups. This project is still in beta . Reference code can be found at GitHub.
TypeDB CTI	TypeDB Data - CTI is an open source threat intelligence platform for organisations to store and manage their cyber threat intelligence (CTI) knowledge. It enables threat intel professionals to bring together their disparate CTI information into one database and find new insights about cyber threats. This repository provides a schema that is based on STIX2, and contains MITRE ATT&CK as an example dataset to start exploring this threat intelligence platform. More in this blog post.
VirusBay	VirusBay is a web-based, collaboration platform that connects security operations center (SOC) professionals with relevant malware researchers.
threatnote.io	The new and improved threatnote.io - A tool for CTI analysts and teams to manage intel requirements, reporting, and CTI processes in an all-in-one platform
XFE - X-Force Exchange	The X-Force Exchange (XFE) by IBM XFE is a free SaaS product that you can use to search for threat intelligence information, collect your findings, and share your insights with other members of the XFE community.
Yeti	The open, distributed, machine and analyst-friendly threat intelligence repository. Made by and for incident responders.

أدوات

All kinds of tools for parsing, creating and editing Threat Intelligence. Mostly IOC based.

ActorTrackr	ActorTrackr is an open source web application for storing/searching/linking actor related data. The primary sources are from users and various public repositories. Source available on GitHub.
AIEngine	AIEngine is a next generation interactive/programmable Python/Ruby/Java/Lua packet inspection engine with capabilities of learning without any human intervention, NIDS(Network Intrusion Detection System) functionality, DNS domain classification, network collector, network forensics and many others.
AIOCRIOC	Artificial Intelligence Ocular Character Recognition Indicator of Compromise (AIOCRIOC) is a tool that combines web scraping, the OCR capabilities of Tesseract and OpenAI compatible LLM API's such as GPT-4 to parse and extract IOCs from reports and other web content including embedded images with contextual data.
Analyze (Intezer)	Analyze is an all-in-one malware analysis platform that is able to perform static, dynamic, and genetic code analysis on all types of files. Users can track malware families, extract IOCs/MITRE TTPs, and download YARA signatures. There is a community edition to get started for free.
Automater	Automater is a URL/Domain, IP Address, and Md5 Hash OSINT tool aimed at making the analysis process easier for intrusion Analysts.
BlueBox	BlueBox is an OSINT solution to get threat intelligence data about a specific file, an IP, a domain or URL and analyze them.
BotScout	BotScout helps prevent automated web scripts, known as "bots", from registering on forums, polluting databases, spreading spam, and abusing forms on web sites.
bro-intel-generator	Script for generating Bro intel files from pdf or html reports.
سائق التاكسي	A simple Python library for interacting with TAXII servers.
cacador	Cacador is a tool written in Go for extracting common indicators of compromise from a block of text.
يجمع	Combine gathers Threat Intelligence Feeds from publicly available sources.
CrowdFMS	CrowdFMS is a framework for automating collection and processing of samples from VirusTotal, by leveraging the Private API system. The framework automatically downloads recent samples, which triggered an alert on the users YARA notification feed.
CyberGordon	CyberGordon is a threat intelligence search engine. It leverages 30+ sources.
CyBot	CyBot is a threat intelligence chat bot. It can perform several types of lookups offered by custom modules.
Cuckoo Sandbox	Cuckoo Sandbox is an automated dynamic malware analysis system. It's the most well-known open source malware analysis sandbox around and is frequently deployed by researchers, CERT/SOC teams, and threat intelligence teams all around the globe. For many organizations Cuckoo Sandbox provides a first insight into potential malware samples.
Fenrir	Simple Bash IOC Scanner.
FireHOL IP Aggregator	Application for keeping feeds from FireHOL blocklist-ipsets with IP addresses appearance history. HTTP-based API service is developed for search requests.
Forager	Multithreaded threat intelligence hunter-gatherer script.
Gigasheet	Gigasheet is a SaaS product used to analyze massive, and disparate cybersecurity data sets. Import massive log files, netflow, pcaps, big CSVs and more.
GoatRider	GoatRider is a simple tool that will dynamically pull down Artillery Threat Intelligence Feeds, TOR, AlienVaults OTX, and the Alexa top 1 million websites and do a comparison to a hostname file or IP file.
Google APT Search Engine	APT Groups, Operations and Malware Search Engine. The sources used for this Google Custom Search are listed on this GitHub gist.
GOSINT	The GOSINT framework is a free project used for collecting, processing, and exporting high quality public indicators of compromise (IOCs).
hashdd	A tool to lookup related information from crytographic hash value
Harbinger Threat Intelligence	Python script that allows to query multiple online threat aggregators from a single interface.
Hippocampe	Hippocampe aggregates threat feeds from the Internet in an Elasticsearch cluster. It has a REST API which allows to search into its 'memory'. It is based on a Python script which fetchs URLs corresponding to feeds, parses and indexes them.
Hiryu	A tool to organize APT campaign information and to visualize relations between IOCs.
IOC Editor	A free editor for Indicators of Compromise (IOCs).
IOC Finder	Python library for finding indicators of compromise in text. Uses grammars rather than regexes for improved comprehensibility. As of February, 2019, it parses over 18 indicator types.
IOC Fanger (and Defanger)	Python library for fanging (`hXXp://example[.]com` => `http://example.com`) and defanging (`http://example.com` => `hXXp://example[.]com`) indicators of compromise in text.
ioc_parser	Tool to extract indicators of compromise from security reports in PDF format.
ioc_writer	Provides a Python library that allows for basic creation and editing of OpenIOC objects.
iocextract	Extracts URLs, IP addresses, MD5/SHA hashes, email addresses, and YARA rules from text corpora. Includes some encoded and “defanged” IOCs in the output, and optionally decodes/refangs them.
IOCextractor	IOC (Indicator of Compromise) Extractor is a program to help extract IOCs from text files. The general goal is to speed up the process of parsing structured data (IOCs) from unstructured or semi-structured data
ibmxforceex.checker.py	Python client for the IBM X-Force Exchange.
jager	Jager is a tool for pulling useful IOCs (indicators of compromise) out of various input sources (PDFs for now, plain text really soon, webpages eventually) and putting them into an easy to manipulate JSON format.
Kaspersky CyberTrace	Threat intelligence fusion and analysis tool that integrates threat data feeds with SIEM solutions. Users can immediately leverage threat intelligence for security monitoring and incident report (IR) activities in the workflow of their existing security operations.
KLara	KLara, a distributed system written in Python, allows researchers to scan one or more Yara rules over collections with samples, getting notifications by e-mail as well as the web interface when scan results are ready.
libtaxii	A Python library for handling TAXII Messages invoking TAXII Services.
لوكي	Simple IOC and Incident Response Scanner.
ابحث عن	LookUp is a centralized page to get various threat information about an IP address. It can be integrated easily into context menus of tools like SIEMs and other investigative tools.
Machinae	Machinae is a tool for collecting intelligence from public sites/feeds about various security-related pieces of data: IP addresses, domain names, URLs, email addresses, file hashes and SSL fingerprints.
MalPipe	Amodular malware (and indicator) collection and processing framework. It is designed to pull malware, domains, URLs and IP addresses from multiple feeds, enrich the collected data and export the results.
MISP Workbench	Tools to export data out of the MISP MySQL database and use and abuse them outside of this platform.
MISP-Taxii-Server	A set of configuration files to use with EclecticIQ's OpenTAXII implementation, along with a callback for when data is sent to the TAXII Server's inbox.
MSTIC Jupyter and Python Security Tools	msticpy is a library for InfoSec investigation and hunting in Jupyter Notebooks.
nyx	The goal of this project is to facilitate distribution of Threat Intelligence artifacts to defensive systems and to enhance the value derived from both open source and commercial tools.
OneMillion	Python library to determine if a domain is in the Alexa or Cisco top, one million domain lists.
openioc-to-stix	Generate STIX XML from OpenIOC XML.
Omnibus	Omnibus is an interactive command line application for collecting and managing IOCs/artifacts (IPs, Domains, Email Addresses, Usernames, and Bitcoin Addresses), enriching these artifacts with OSINT data from public sources, and providing the means to store and access these artifacts in a simple way.
OSTIP	A homebrew threat data platform.
poortego	Open-source project to handle the storage and linking of open-source intelligence (ala Maltego, but free as in beer and not tied to a specific / proprietary database). Originally developed in ruby, but new codebase completely rewritten in python.
PyIOCe	PyIOCe is an IOC editor written in Python.
QRadio	QRadio is a tool/framework designed to consolidate cyber threats intelligence sources. The goal of the project is to establish a robust modular framework for extraction of intelligence data from vetted sources.
rastrea2r	Collecting & Hunting for Indicators of Compromise (IOC) with gusto and style!
Redline	A host investigations tool that can be used for, amongst others, IOC analysis.
RITA	Real Intelligence Threat Analytics (RITA) is intended to help in the search for indicators of compromise in enterprise networks of varying size.
Softrace	Lightweight National Software Reference Library RDS storage.
sqhunter	Threat hunter based on osquery, Salt Open and Cymon API. It can query open network sockets and check them against threat intelligence sources
SRA TAXII2 Server	Full TAXII 2.0 specification server implemented in Node JS with MongoDB backend.
Stixvalidator.com	Stixvalidator.com is an online free STIX and STIX2 validator service.
Stixview	Stixview is a JS library for embeddable interactive STIX2 graphs.
stix-viz	STIX Visualization Tool.
TAXII Test Server	Allows you to test your TAXII environment by connecting to the provided services and performing the different functions as written in the TAXII specifications.
threataggregator	ThreatAggregrator aggregates security threats from a number of online sources, and outputs to various formats, including CEF, Snort and IPTables rules.
threatcrowd_api	Python Library for ThreatCrowd's API.
threatcmd	Cli interface to ThreatCrowd.
Threatelligence	Threatelligence is a simple cyber threat intelligence feed collector, using Elasticsearch, Kibana and Python to automatically collect intelligence from custom or public sources. Automatically updates feeds and tries to further enhance data for dashboards. Projects seem to be no longer maintained, however.
ThreatIngestor	Flexible, configuration-driven, extensible framework for consuming threat intelligence. ThreatIngestor can watch Twitter, RSS feeds, and other sources, extract meaningful information like C2 IPs/domains and YARA signatures, and send that information to other systems for analysis.
ThreatPinch Lookup	An extension for Chrome that creates hover popups on every page for IPv4, MD5, SHA2, and CVEs. It can be used for lookups during threat investigations.
ThreatTracker	A Python script designed to monitor and generate alerts on given sets of IOCs indexed by a set of Google Custom Search Engines.
threat_intel	Several APIs for Threat Intelligence integrated in a single package. Included are: OpenDNS Investigate, VirusTotal and ShadowServer.
Threat-Intelligence-Hunter	TIH is an intelligence tool that helps you in searching for IOCs across multiple openly available security feeds and some well known APIs. The idea behind the tool is to facilitate searching and storing of frequently added IOCs for creating your own local database of indicators.
tiq-test	The Threat Intelligence Quotient (TIQ) Test tool provides visualization and statistical analysis of TI feeds.
YETI	YETI is a proof-of-concept implementation of TAXII that supports the Inbox, Poll and Discovery services defined by the TAXII Services Specification.

Research, Standards & Books

All kinds of reading material about Threat Intelligence. Includes (scientific) research and whitepapers.

APT & Cyber Criminal Campaign Collection	Extensive collection of (historic) campaigns. Entries come from various sources.
APTnotes	A great collection of sources regarding Advanced Persistent Threats (APTs). These reports usually include strategic and tactical knowledge or advice.
ATT&CK	Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) is a model and framework for describing the actions an adversary may take while operating within an enterprise network. ATT&CK is a constantly growing common reference for post-access techniques that brings greater awareness of what actions may be seen during a network intrusion. MITRE is actively working on integrating with related construct, such as CAPEC, STIX and MAEC.
Building Threat Hunting Strategies with the Diamond Model	Blogpost by Sergio Caltagirone on how to develop intelligent threat hunting strategies by using the Diamond Model.
Cyber Analytics Repository by MITRE	The Cyber Analytics Repository (CAR) is a knowledge base of analytics developed by MITRE based on the Adversary Tactics, Techniques, and Common Knowledge (ATT&CK™) threat model.
Cyber Threat Intelligence Capability Maturity Model (CTI-CMM)	A new Cyber Threat Intelligence Capability Maturity Model (CTI-CMM) using a stakeholder-first approach and aligned with the Cybersecurity Capability Maturity Model (C2M2) to empower your team and create lasting value.
Cyber Threat Intelligence Repository by MITRE	The Cyber Threat Intelligence Repository of ATT&CK and CAPEC catalogs expressed in STIX 2.0 JSON.
Cyber Threat Intelligence: A Product Without a Process?	A research paper describing how current cyber threat intelligence products fall short and how they can be improved by introducing and evaluating sound methodologies and processes.
Definitive Guide to Cyber Threat Intelligence	Describes the elements of cyber threat intelligence and discusses how it is collected, analyzed, and used by a variety of human and technology consumers. Further examines how intelligence can improve cybersecurity at tactical, operational, and strategic levels, and how it can help you stop attacks sooner, improve your defenses, and talk more productively about cybersecurity issues with executive management in typical for Dummies style.
The Detection Maturity Level (DML)	The DML model is a capability maturity model for referencing ones maturity in detecting cyber attacks. It's designed for organizations who perform intel-driven detection and response and who put an emphasis on having a mature detection program. The maturity of an organization is not measured by it's ability to merely obtain relevant intelligence, but rather it's capacity to apply that intelligence effectively to detection and response functions.
The Diamond Model of Intrusion Analysis	This paper presents the Diamond Model, a cognitive framework and analytic instrument to support and improve intrusion analysis. Supporting increased measurability, testability and repeatability in intrusion analysis in order to attain higher effectivity, efficiency and accuracy in defeating adversaries is one of its main contributions.
The Targeting Process: D3A and F3EAD	F3EAD is a military methodology for combining operations and intelligence.
Guide to Cyber Threat Information Sharing by NIST	The Guide to Cyber Threat Information Sharing (NIST Special Publication 800-150) assists organizations in establishing computer security incident response capabilities that leverage the collective knowledge, experience, and abilities of their partners by actively sharing threat intelligence and ongoing coordination. The guide provides guidelines for coordinated incident handling, including producing and consuming data, participating in information sharing communities, and protecting incident-related data.
Intelligence Preparation of the Battlefield/Battlespace	This publication discusses intelligence preparation of the battlespace (IPB) as a critical component of the military decision making and planning process and how IPB supports decision making, as well as integrating processes and continuing activities.
Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains	The intrusion kill chain as presented in this paper provides one with a structured approach to intrusion analysis, indicator extraction and performing defensive actions.
ISAO Standards Organization	The ISAO Standards Organization is a non-governmental organization established on October 1, 2015. Its mission is to improve the Nation's cybersecurity posture by identifying standards and guidelines for robust and effective information sharing related to cybersecurity risks, incidents, and best practices.
Joint Publication 2-0: Joint Intelligence	This publication by the US army forms the core of joint intelligence doctrine and lays the foundation to fully integrate operations, plans and intelligence into a cohesive team. The concepts presented are applicable to (Cyber) Threat Intelligence too.
Microsoft Research Paper	A framework for cybersecurity information sharing and risk reduction. A high level overview paper by Microsoft.
MISP Core Format (draft)	This document describes the MISP core format used to exchange indicators and threat information between MISP (Malware Information and threat Sharing Platform) instances.
NECOMA Project	The Nippon-European Cyberdefense-Oriented Multilayer threat Analysis (NECOMA) research project is aimed at improving threat data collection and analysis to develop and demonstratie new cyberdefense mechanisms. As part of the project several publications and software projects have been published.
Pyramid of Pain	The Pyramid of Pain is a graphical way to express the difficulty of obtaining different levels of indicators and the amount of resources adversaries have to expend when obtained by defenders.
Structured Analytic Techniques For Intelligence Analysis	This book contains methods that represent the most current best practices in intelligence, law enforcement, homeland security, and business analysis.
Threat Intelligence: Collecting, Analysing, Evaluating	This report by MWR InfoSecurity clearly describes several different types of threat intelligence, including strategic, tactical and operational variations. It also discusses the processes of requirements elicitation, collection, analysis, production and evaluation of threat intelligence. Also included are some quick wins and a maturity model for each of the types of threat intelligence defined by MWR InfoSecurity.
Threat Intelligence Sharing Platforms: An Exploratory Study of Software Vendors and Research Perspectives	A systematic study of 22 Threat Intelligence Sharing Platforms (TISP) surfacing eight key findings about the current state of threat intelligence usage, its definition and TISPs.
Traffic Light Protocol	The Traffic Light Protocol (TLP) is a set of designations used to ensure that sensitive information is shared with the correct audience. It employs four colors to indicate different degrees of sensitivity and the corresponding sharing considerations to be applied by the recipient(s).
Unit42 Playbook Viewer	The goal of the Playbook is to organize the tools, techniques, and procedures that an adversary uses into a structured format, which can be shared with others, and built upon. The frameworks used to structure and share the adversary playbooks are MITRE's ATT&CK Framework and STIX 2.0
Who's Using Cyberthreat Intelligence and How?	A whitepaper by the SANS Institute describing the usage of Threat Intelligence including a survey that was performed.
WOMBAT Project	The WOMBAT project aims at providing new means to understand the existing and emerging threats that are targeting the Internet economy and the net citizens. To reach this goal, the proposal includes three key workpackages: (i) real time gathering of a diverse set of security related raw data, (ii) enrichment of this input by means of various analysis techniques, and (iii) root cause identification and understanding of the phenomena under scrutiny.