awesome threat intelligence
1.0.0
Eine kuratierte Liste großartiger Bedrohungsintelligenzressourcen
Eine kurze Definition von Bedrohungsintelligenz: evidenzbasiertes Wissen, einschließlich Kontext, Mechanismen, Indikatoren, Implikationen und umsetzbaren Ratschlägen, über eine vorhandene oder aufkommende Bedrohung oder Gefahr für Vermögenswerte, die verwendet werden können, um Entscheidungen über die Reaktion des Subjekts auf diese Bedrohung oder Gefahr zu informieren .
Fühlen Sie sich frei zu beitragen.
Die meisten unten aufgeführten Ressourcen bieten Listen und/oder APIs, um (hoffentlich) aktuelle Informationen in Bezug auf Bedrohungen zu erhalten. Einige betrachten diese Quellen als Bedrohungsintelligenz, die Meinungen unterscheiden sich jedoch. Eine bestimmte Menge an (domänen- oder geschäftsspezifischer) Analyse ist erforderlich, um echte Bedrohungsinformationen zu schaffen.
| Missseipdb | Missseipdb ist ein Projekt, das sich zur Bekämpfung der Verbreitung von Hackern, Spammer und missbräuchlichen Aktivitäten im Internet widmet. Es ist Mission, Web sicherer zu machen, indem Webmaster, Systemadministratoren und andere interessierte Parteien eine zentrale Blacklist bereitgestellt werden, um IP -Adressen zu melden und zu finden, die mit böswilligen Aktivitäten online in Verbindung gebracht wurden. |
| Alexa Top 1 Million Websites | Die Top 1 Million Websites von Amazon (Alexa). Verwenden Sie dies niemals als Whitelist. |
| APT -Gruppen und Operationen | Eine Tabelle mit Informationen und Intelligenz über APT -Gruppen, Operationen und Taktiken. |
| Binärverteidigungs -IP -Banlist | Binärverteidigungssysteme Artillerie Bedrohung Intelligenz Feed und IP -Banlist -Feed. |
| BGP -Ranking | Ranking von ASNs mit den böswilligsten Inhalten. |
| Botnet Tracker | Verfolgt mehrere aktive Botnets. |
| Botvrij.eu | Botvrij.eu bietet verschiedene Open -Source -IOCs, die Sie in Ihren Sicherheitsvorrichtungen verwenden können, um mögliche böswillige Aktivitäten zu erkennen. |
| Bruteforceblocker | Bruteforceblocker ist ein Perl -Skript, das die SSHD -Protokolle eines Servers überwacht und Brute -Force -Angriffe identifiziert, mit denen es dann automatisch Firewall -Blockierungsregeln konfiguriert und diese IPS zurück an die Projektseite http://danger.rulez.sk/projects/buteforceblocker/blist.php. |
| C & C Tracker | Ein Feed aus bekannten, aktiven und nicht einkassierten C & C-IP-Adressen von Bambenek Consulting. Erfordert Lizenz für die kommerzielle Nutzung. |
| Zertifikat | Echtzeit-Zertifikattransparenzprotokoll-Aktualisierung Stream. Siehe SSL -Zertifikate, wie sie in Echtzeit ausgestellt werden. |
| CCSS Forum Malware -Zertifikate | Im Folgenden finden Sie eine Liste digitaler Zertifikate, die vom Forum gemeldet wurden, die möglicherweise mit Malware an verschiedene Zertifikatbehörden verbunden sind. Diese Informationen sollen verhindern, dass Unternehmen digitale Zertifikate verwenden, um Malware Legitimität zu erweitern und einen sofortigen Widerruf solcher Zertifikate zu fördern. |
| CI -Armeeliste | Eine Untergruppe der kommerziellen CINS -Score -Liste, die sich auf schlecht bewertete IPs konzentriert, die derzeit nicht auf anderen Bedrohungen vorhanden sind. |
| Cisco Regenschirm | Wahrscheinliche Whitelist der Top -1 -Million -Standorte, die von Cisco Regenschirm (Opens) gelöst wurden. |
| Cloudmersive Virus -Scan | Cloudmersive Virus -Scan -APIS -Scan -Dateien, URLs und Cloud -Speicher für Viren. Sie nutzen kontinuierlich aktualisierte Unterschriften für Millionen von Bedrohungen und fortschrittliche Hochleistungs-Scanfunktionen. Der Service ist kostenlos, erfordert jedoch, dass Sie sich für ein Konto anmelden, um Ihren persönlichen API -Schlüssel abzurufen. |
| Crowdec -Konsole | Die größte CTI-Crowd-Sourcing-CTI, die dank Crowdec einer Open-Source-, Free- und Collaborative-IDS/IPS-Software in der Echtzeit aktualisiert wurde. Crowdsec ist in der Lage, das Besucherverhalten zu analysieren und eine angepasste Reaktion auf alle Arten von Angriffen zu geben. Benutzer können ihre Warnungen über Bedrohungen mit der Community teilen und vom Netzwerkeffekt profitieren. Die IP -Adressen werden aus realen Angriffen gesammelt und stammen nicht ausschließlich aus einem Honeypot -Netzwerk. |
| Cyber Cure Free Intelligence Feeds | Cyber Cure bietet kostenlose Cyber -Bedrohungs -Intelligenz -Feeds mit Listen von IP -Adressen an, die derzeit infiziert sind und im Internet angreifen. Es gibt eine Liste der URLs, die von Malware und Liste der Hash -Dateien bekannt sind, die sich derzeit ausbreiten. Cybercure verwendet Sensoren, um Intelligenz mit einer sehr niedrigen falsch positiven Rate zu sammeln. Eine detaillierte Dokumentation ist ebenfalls verfügbar. |
| Cyware Threat Intelligence füttert | Die Bedrohungsinformationen von Cyware bringen Ihnen die wertvollen Bedrohungsdaten aus einer Vielzahl offener und vertrauenswürdiger Quellen zur Verfügung, um einen konsolidierten Strom wertvoller und umsetzbarer Bedrohungsinformationen zu liefern. Unsere Bedrohungsintel-Feeds sind vollständig mit STIX 1.x und 2.0 kompatibel und geben Ihnen die neuesten Informationen zu böswilligen Malware-Hashes, IPs und Domänen, die in Echtzeit auf der ganzen Welt aufgedeckt wurden. |
| Dataplane.org | Dataplane.org ist von Betreibern eine Community-Anbieter-Internetdaten, -feeds und Messressource für Betreiber. Wir bieten einen zuverlässigen und vertrauenswürdigen Service kostenlos. |
| Focsec.com | FocSec.com bietet eine API zum Erkennen von VPNs, Proxys, Bots und TOR -Anfragen. Immer aktuelle Daten helfen beim Erkennen verdächtiger Anmeldungen, Betrug und Missbrauch. Code -Beispiele finden Sie in der Dokumentation. |
| Digitalside Bedrohung-Intel | Enthält Sätze von Open -Source -Cyber -Bedrohungsindikatoren, die hauptsächlich auf Malware -Analyse und beeinträchtigen URLs, IPS und Domänen basieren. Ziel dieses Projekts ist es, neue Wege zu entwickeln und zu testen, um IOCs zu jagen, zu analysieren, zu sammeln und zu teilen, die von SOC/CSIRT/CERT/Personen mit minimalem Aufwand verwendet werden sollen. Berichte werden auf drei Arten geteilt: STIX2, CSV und MISP -Feed. Berichte werden auch im Git -Repository des Projekts veröffentlicht. |
| Einweg -E -Mail -Domänen | Eine Sammlung von anonymen oder verfügbaren E -Mail -Domänen, die häufig zum Spam-/Missbrauchsdiensten verwendet werden. |
| DNS -Pfade | Kostenlose Intelligenzquelle für aktuelle und historische DNS -Informationen, WHOIS -Informationen, andere Websites, die mit bestimmten IPs, Subdomain -Wissen und Technologien verbunden sind. Es gibt auch eine IP- und Domain Intelligence -API. |
| Aufkommende Bedrohungen Firewall -Regeln | Eine Sammlung von Regeln für verschiedene Arten von Firewalls, einschließlich Iptables, PF und Pix. |
| Aufkommende Bedrohungen IDS -Regeln | Eine Sammlung von Snort- und Suricata -Regeln -Dateien, die zum Alarmieren oder Blockieren verwendet werden können. |
| Exonerator | Der Exonerator -Dienst verwaltet eine Datenbank von IP -Adressen, die Teil des TOR -Netzwerks waren. Es beantwortet die Frage, ob ein Tor -Relais mit einer bestimmten IP -Adresse an einem bestimmten Datum ausgeführt wurde. |
| Ausbeutung | Auflistung der neuesten veröffentlichten Exploits. |
| Fastintercept | Intercept Security beherbergt eine Reihe kostenloser IP -Reputationslisten aus ihrem globalen Honeypot -Netzwerk. |
| Zeus -Tracker | Der Feodo Tracker -Missbrauch.ch verfolgt den Feodo Trojaner. |
| Feuerhörer IP -Listen | Über 400 öffentlich verfügbare IP-Feeds wurden analysiert, um ihre Entwicklung, Geo-Map, Age of IPS, Retentionsrichtlinie, Überschneidungen zu dokumentieren. Die Website konzentriert sich auf Cyberkriminalität (Angriffe, Missbrauch, Malware). |
| Betrugsgüter | Betrugsguard ist ein Service, der eine einfache Möglichkeit bietet, die Nutzung zu validieren, indem sie kontinuierlich den Echtzeit-Internetverkehr sammelt und analysiert. |
| Greynoise | Greynoise sammelt und analysiert Daten zur internetweiten Scanaktivität. Es sammelt Daten zu gutartigen Scannern wie Shodan.io sowie böswillige Schauspieler wie SSH- und Telnet -Würmer. |
| Honeydb | HoneyDB liefert Echtzeitdaten zur Honeypot -Aktivität. Diese Daten stammen von Honeypots, die im Internet mithilfe des Honeypy -Honeypots bereitgestellt werden. Darüber hinaus bietet HoneyDB API -Zugriff auf gesammelte Honeypot -Aktivität, die auch aggregierte Daten aus verschiedenen Honeypot -Twitter -Feeds enthält. |
| Eiswasser | 12.805 kostenlose Yara -Regeln, die von Project Icewater erstellt wurden. |
| Infosec - cert -pa | Malware -Mustersammlung und -analyse, Blocklist -Dienst, Schwachstellendatenbank und mehr. Von cert-pa erstellt und verwaltet. |
| Inquest Labs | Ein offenes, interaktives und API -gesteuertes Datenportal für Sicherheitsforscher. Suchen Sie nach einem großen Korpus von Dateiproben, aggregierten Reputationsinformationen und IOCs, die aus öffentlichen Quellen extrahiert wurden. Erweitern Sie die Yara-Entwicklung mit Werkzeugen, um Auslöser zu generieren, mit Mischkasse-Hex zu befassen und Base64-kompatible reguläre Ausdrücke zu erzeugen. |
| I-Blocklist | I-Blocklist verwaltet verschiedene Arten von Listen mit IP-Adressen, die zu verschiedenen Kategorien gehören. Einige dieser Hauptkategorien umfassen Länder, ISPs und Organisationen. Weitere Listen umfassen Webangriffe, Tor, Spyware und Proxies. Viele können frei zu verwenden und in verschiedenen Formaten erhältlich. |
| Ipsum | IPSUM ist ein Bedrohungsintelligenfutter, das auf mehr als 30 verschiedenen öffentlich verfügbaren Listen von verdächtigen und/oder böswilligen IP -Adressen basiert. Alle Listen werden automatisch abgerufen und täglich (24 Stunden) analysiert, und das Endergebnis wird auf dieses Repository weitergegeben. Die Liste erfolgt aus IP -Adressen zusammen mit einer Gesamtzahl der (schwarzen) Liste (für jeden). Von Miroslav Stampar erstellt und verwaltet. |
| James Sole Bedrohung Intelligenz füttert | JamesBrine bietet tägliche Bedrohungsintelligenz -Feeds für böswillige IP -Adressen von international gelegenen Honeypots auf Cloud- und privaten Infrastruktur, die eine Vielzahl von Protokollen abdecken, darunter SSH, FTP, RDP, GIT, SNMP und Redis. Die IOCs des Vortags sind in STIX2 sowie zusätzliche IOCs wie verdächtige URIs und neu registrierte Domänen erhältlich, die in Phishing -Kampagnen eine hohe Verwendung von Nutzung aufweisen. |
| Kaspersky -Bedrohungsdaten feeds | Kontinuierlich aktualisiert und informieren Sie Ihr Unternehmen oder Ihre Kunden über Risiken und Auswirkungen, die mit Cyber -Bedrohungen verbunden sind. Die Echtzeitdaten helfen Ihnen, Bedrohungen effektiver zu mindern und sich gegen Angriffe zu verteidigen, noch bevor sie gestartet werden. Demo -Daten -Feeds enthalten verkürzte IOC -Sätze (bis zu 1%) im Vergleich zu den kommerziellen |
| Majestätische Millionen | Wahrscheinliche Whitelist von den Top 1 Million Websites, wie von Majestic. Standorte werden nach der Anzahl der überweisenden Subnetze bestellt. Mehr über die Rangliste finden Sie in ihrem Blog. |
| Maldatabase | Maldatabase soll Malware Data Science und Threat Intelligence -Feeds helfen. Die Daten enthaltene Daten enthalten unter anderem gute Informationen zu Domänen, die Liste der ausgeführten Prozesse und abgebrochenen Dateien nach jedem Beispiel. Mit diesen Feeds können Sie Ihre Überwachungs- und Sicherheitsinstrumente verbessern. Für Sicherheitsforscher und Studenten stehen kostenlose Dienste zur Verfügung. |
| Malpedia | Das Hauptziel von Malpedia ist es, bei der Untersuchung von Malware eine Ressource für eine schnelle Identifizierung und einen umsetzbaren Kontext bereitzustellen. Die Offenheit für kuratierte Beiträge gewährleistet ein rechenschaftspflichtiges Qualitätsniveau, um sinnvolle und reproduzierbare Forschung zu fördern. |
| Malshare.com | Das Malshare -Projekt ist ein öffentliches Malware -Repository, das Forschern freien Zugang zu Proben bietet. |
| Maltiverse | Das Maltiverse -Projekt ist eine große und angereicherte IOC -Datenbank, in der komplexe Abfragen und Aggregationen möglich sind, um über Malware -Kampagnen und seine Infrastrukturen zu untersuchen. Es hat auch einen großartigen IOC -Bulk -Query -Service. |
| MalwareBazaar | Malwarebazaar ist ein Projekt von Missbrauch, mit dem Ziel, Malware -Muster mit der Infosec -Community, AV -Anbietern und Anbietern von Bedrohungsintelligen zu teilen. |
| Malware -Domänenliste | Eine durchsuchbare Liste bösartiger Domänen, die auch umgekehrte Lookups und Registranten auflistet, die sich auf Phishing, Trojaner und Exploit -Kits konzentrieren. |
| Malware Patrol | Malware Patrol bietet Unternehmen aller Größen Blocklisten, Datenfeeds und Bedrohungsintelligen. Da unsere Spezialität Cyber -Bedrohungsintelligenz ist, müssen alle unsere Ressourcen sicherstellen, dass dies von höchster Qualität möglich ist. Wir glauben, dass ein Sicherheitsteam und seine Tools nur so gut sind wie die verwendeten Daten. Dies bedeutet, dass unsere Feeds nicht mit abkratzten, unbestätigten Indikatoren gefüllt sind. Wir schätzen die Qualität über Quantität. |
| Malware-Verkehrsanalyse.net | Dieser Blog konzentriert sich auf den Netzwerkverkehr im Zusammenhang mit Malware -Infektionen. Enthält Verkehrsanalyseübungen, Tutorials, Malware -Beispiele, PCAP -Dateien mit böswilligen Netzwerkverkehr und technische Blog -Posts mit Beobachtungen. |
| Malwaredomains.com | Das DNS-BH-Projekt erstellt und verwaltet eine Auflistung von Domänen, von denen bekannt ist, dass sie zur Verbreitung von Malware und Spyware verwendet werden. Diese können sowohl zur Erkennung als auch zur Prävention verwendet werden (Sinkholing -DNS -Anfragen). |
| Metadefender -Wolke | MetadeFender Cloud Threat Intelligence Feeds enthält die besten neuen Malware -Hash -Signaturen, einschließlich MD5, SHA1 und SHA256. Diese neuen bösartigen Hashes wurden innerhalb der letzten 24 Stunden von Metadefender Cloud entdeckt. Die Feeds werden täglich mit neu erkannten und gemeldeten Malware aktualisiert, um umsetzbare und zeitnahe Intelligenz zu liefern. |
| Netlab Opendata -Projekt | Das Netlab Opendata-Projekt wurde am 16. August 2016 bei ISC 2016 der Öffentlichkeit zuerst vorgestellt. Wir bieten derzeit mehrere Datenfeeds an, darunter DGA, EK, MALCON, MIRAI C2, MIRAI-SCANNER, HAJIME-SCANNER und DRDOS-Reflektor. |
| Nichts! | SNMP, SSH, Telnet Blacklisted IPS von Matteo Cantonis Honeypots |
| NormShield -Dienste | NormShield Services bieten Tausende von Domäneninformationen (einschließlich WHOIS -Informationen), aus denen potenzielle Phishing -Angriffe ausgehen können. Breach- und Blacklist -Dienste ebenfalls verfügbar. Es gibt kostenlose Anmeldungen für öffentliche Dienste für die kontinuierliche Überwachung. |
| Novasiense -Bedrohungen | NovaSense ist das SNAPT Threat Intelligence Center und bietet Einblicke und Instrumente für den Schutz vorbeugender Bedrohungsschutz und Angriffsminderung. Novasense schützt Kunden aller Größen vor Angreifern, Missbrauch, Botnets, DOS -Angriffen und mehr. |
| Beobachtungen | Der RSS -Leser für Cybersicherheitsteams. Verwandeln Sie jeden Blog in strukturierte und umsetzbare Intelligenz. |
| OpenPhish Feeds | OpenPhish erhält URLs aus mehreren Streams und analysiert sie mit seinen proprietären Phishing -Erkennungsalgorithmen. Es stehen kostenlose und kommerzielle Angebote zur Verfügung. |
| 0xsi_f33d | Kostenloser Service zur Erkennung von Posbible Phishing- und Malware -Domänen, schwarze Liste im portugiesischen Cyberspace. |
| Phishtank | Phishtank liefert eine Liste mutmaßlicher Phishing -URLs. Ihre Daten stammen aus menschlichen Berichten, aber sie nehmen auch nach Möglichkeit externe Futtermittel auf. Es ist ein kostenloser Service, aber manchmal ist die Registrierung für einen API -Schlüssel erforderlich. |
| PICKUPSTIX | PICKUPSTIX ist ein Futter aus freien, offenen Intelligenz von Open-Source und nichtkommerzialisierten Cyber-Bedrohungen. Derzeit verwendet Pickupstix drei öffentliche Feeds und verteilt täglich etwa 100 neue Intelligenzstücke. PICKUPSTIX übersetzt die verschiedenen Feeds in STIX, die mit jedem Taxii -Server kommunizieren können. Die Daten sind frei zu verwenden und sind eine großartige Möglichkeit, Cyber Threat Intelligence zu verwenden. |
| Rettungsbedrohung Intel Feed | [Res] Cure ist ein unabhängiges Bedrohungsintelligenprojekt, das vom FruxLabs Crack -Team durchgeführt wird, um ihr Verständnis für die zugrunde liegende Architektur verteilter Systeme, die Art der Bedrohungsintelligenz und die effiziente Sammlung, Aufbewahrung, Konsum- und Verteilung von Bedrohungsintelligenz zu verbessern. Futtermittel werden alle 6 Stunden erzeugt. |
| RST Cloud Bedrohung Intel Feed | Aggregierte Indikatoren für Kompromisse, die aus mehreren offenen und von der Gemeinschaft unterstützten Quellen gesammelt und gekreuzt wurden, werden mit unserer Intelligenzplattform angereichert und eingestuft. |
| Rutgers Blacklisted IPS | IP -Liste der Angreifer von SSH Brute Force wird aus einer Fusion von lokal beobachteten IPs und 2 Stunden alten IPs erstellt, die bei Badip.com und BlockList registriert sind.de |
| Sans ICs verdächtige Domains | Die Bedrohungslisten der verdächtigen Domains von SANS ICS verfolgen verdächtige Domains. Es bietet 3 Listen, die entweder als hohe, mittlere oder niedrige Empfindlichkeit eingestuft wurden, wobei die Liste mit hoher Empfindlichkeit weniger falsch positive positive Ergebnisse aufweist, während die Liste der niedrigen Sensitivität mit weiteren falsch positiven positiven Ergebnissen. Es gibt auch eine zugelassene Whitelist von Domänen. Schließlich gibt es eine vorgeschlagene IP -Blockliste von Dshield. |
| SecurityScorecard IOCs | Öffentliche Zugriff auf IOCs aus technischen Blogs Posts und Berichten von Securityscorecard. |
| Stixify | Ihr automatisierter Analyst mit Bedrohung intelligenz. Extrahieren Sie die lesbare Intelligenz von Maschinen aus unstrukturierten Daten. |
| Signaturbasis | Eine Datenbank mit Signaturen, die in anderen Tools von NEO23x0 verwendet werden. |
| Das Spamhaus -Projekt | Das Spamhaus -Projekt enthält mehrere Bedrohungen, die mit Spam- und Malware -Aktivitäten verbunden sind. |
| Sophoslabs Intelix | Sophoslabs Intelix ist die Threat Intelligence -Plattform, die Sophos -Produkte und -Partner führt. Sie können auf der Grundlage von Datei -Hash, URL usw. zugreifen und Beispiele für die Analyse einreichen. Durch REST -API können Sie diese Bedrohungsinformationen in Ihren Systemen leicht und schnell hinzufügen. |
| Sporn | Spur bietet Tools und Daten zur Erkennung von VPNs, Wohnproxies und Bots. Mit dem kostenlosen Plan können Benutzer eine IP suchen und ihre Klassifizierung, VPN -Anbieter, beliebte Geolokationen hinter der IP und einen nützlicheren Kontext erhalten. |
| SSL Blacklist | SSL Blacklist (SSLBL) ist ein Projekt, das von Missbrauch beibehalten wird. Ziel ist es, eine Liste von "schlechten" SSL -Zertifikaten bereitzustellen, die von Missbrauch ermittelt wurden, die mit Malware- oder Botnetzaktivitäten verbunden sind. SSLBL stützt sich auf SHA1 -Fingerabdrücke von böswilligen SSL -Zertifikaten und bietet verschiedene Blacklisten an |
| Statvoo Top 1 Million Websites | Wahrscheinliche Whitelist von den Top 1 Million Websites, wie von StatVoo eingestuft. |
| Strongarm, durch Percipient -Netzwerke | Strongarm ist ein DNS -Schwarzloch, das Maßnahmen für Kompromisse durch Blockieren von Malware -Befehl und -steuerung ausführt. Strongarm Aggregates Free Indicator -Feeds, integriert sich in kommerzielle Futtermittel, nutzt die IOC -Feeds von Percipient und betreibt DNS -Resolver und APIs, mit denen Sie Ihr Netzwerk und Ihr Geschäft schützen können. Strongarm ist kostenlos für den persönlichen Gebrauch. |
| Siem regiert | Ihre Erkennungs -Engineering -Datenbank. SIEM -Regeln für Bedrohungsjagd und Erkennung anzeigen, ändern und bereitstellen. |
| Talos | Die Cisco Talos Intelligence Group ist eines der größten kommerziellen Intelligenzteams der Welt, die aus erstklassigen Forschern, Analysten und Ingenieuren bestehen. Diese Teams werden von unübertroffener Telemetrie und hoch entwickelten Systemen unterstützt, um genaue, schnelle und umsetzbare Bedrohungsinformationen für Cisco -Kunden, -Produkte und -dienste zu schaffen. Talos verteidigt Cisco -Kunden gegen bekannte und aufstrebende Bedrohungen, entdeckt neue Schwachstellen bei gemeinsamer Software und verbotene Bedrohungen in freier Wildbahn, bevor sie das Internet weiter schädigen können. Talos behält die offiziellen Regelsätze von Snort.org, Clamav und Spamcop bei, zusätzlich zur Veröffentlichung vieler Open-Source-Forschungs- und -analyse-Tools. Talos bietet eine benutzerfreundliche Web -Benutzeroberfläche, um den Ruf eines Beobachtbaren zu überprüfen. |
| Threatfeeds.io | ThreatFeeds.io listet kostenlose und Open-Source-Bedrohungsintelligenz-Feeds und Quellen auf und bietet direkte Download-Links und Live-Zusammenfassungen. |
| Threatfox.abuse.ch | ThreatFox ist eine freie Plattform aus Missbrauch. Chan mit dem Ziel, Indikatoren für Kompromisse (IOCs) mit Malware mit der Infosec -Community, AV -Anbietern und Bedrohungsinformationen im Zusammenhang mit Malware zu teilen. |
| Technische Blogs und Berichte von ThreatConnect | Diese Quelle wird mit den Inhalten von über 90 Open Source -Blogs bevölkert. IOCs (Indikatoren für Kompromisse) werden aus jedem Blog analysiert und der Inhalt des Blogs ist in Markdown formatiert. |
| Bedrohung Jammer | Threat Jammer ist ein REST-API-Service, mit dem Entwickler, Sicherheitsingenieure und andere IT-Fachkräfte auf qualitativ hochwertige Bedrohungsinformationsdaten aus einer Vielzahl von Quellen zugreifen und sie in ihre Anwendungen integrieren können, um böswillige Aktivitäten zu erkennen und zu blockieren. |
| Bedrohung | Drohminer wurde erstellt, um Analysten aus der Datenerfassung zu kosten und ihnen ein Portal zur Verfügung zu stellen, auf dem sie ihre Aufgaben ausführen können, vom Lesen von Berichten bis hin zu Pivoting und Datenanreicherung. In der Betonung des Bedrohungsminers geht es nicht nur um Indikatoren für Kompromisse (IOC), sondern auch um Analysten mit kontextuellen Informationen im Zusammenhang mit dem IOC, das sie betrachten. |
| WSTNPHX Malware -E -Mail -Adressen | E -Mail -Adressen, die von Malware verwendet werden, die von Vestron Phoronix (WSTNPHX) gesammelt wurde |
| Undertack.today | UndertAttack ist eine kostenlose Intelligenz -Plattform, die IPs und Informationen über verdächtige Ereignisse und Angriffe teilt. Die Registrierung ist kostenlos. |
| URLHAUS | URLHAUS ist ein Projekt aus Missbrauch. Chan mit dem Ziel, böswillige URLs zu teilen, die für die Verteilung von Malware verwendet werden. |
| Virusshare | Virusshare.com ist ein Repository von Malware -Stichproben, um Sicherheitsforscher, Incident -Responder, forensische Analysten und den krankhaft merkwürdigen Zugang zu Proben von böswilligem Code zu ermöglichen. Der Zugriff auf die Website wird nur durch Einladung gewährt. |
| Yara-Rules | Ein Open -Source -Repository mit verschiedenen YARA -Signaturen, die zusammengestellt, klassifiziert und so auf dem neuesten Stand wie möglich gehalten werden. |
| 1. Dual Stack Bedrohung Feed von Mrlooquer | Mrlooquer hat das erste Bedrohungsmittel für Systeme mit Dual -Stack geschaffen. Da das IPv6 -Protokoll Teil der Malware- und Betrugskommunikation ist, ist es erforderlich, die Bedrohungen in beiden Protokollen zu erkennen und zu mildern (IPv4 und IPv6). |
Standardisierte Formate zum Austausch von Bedrohungsintelligen (hauptsächlich IOCs).
| Capec | Die gemeinsame Angriffsmusteraufzählung und -klassifizierung (CAPEC) ist eine umfassende Wörterbuch- und Klassifizierungstaxonomie bekannter Angriffe, die von Analysten, Entwicklern, Tester und Pädagogen verwendet werden können, um das Verständnis der Gemeinschaft zu verstehen und die Verteidigung zu verbessern. |
| Cybox | Die Cyber Observable Expression (CYBOX) -sprache bietet eine gemeinsame Struktur für die Darstellung von Cyber -Observablen über und zwischen den operativen Bereichen der Cybersicherheit der Unternehmen, die die Konsistenz, Effizienz und Interoperabilität von bereitgestellten Tools und Prozessen verbessert sowie die Gesamtsituationsbewusstsein des Gesamtsituationsbewusstseins erhöht, indem das Potenzial für detaillierte gemeinsame Sharing -Sharing, Karten, Karten und Analyse und Analyse des Heuristiks ermöglicht wird. |
| Iodef (RFC5070) | Das Exchange -Exchange -Format (IODEF) des Incident -Objekts definiert eine Datendarstellung, die einen Framework zum Austausch von Informationen enthält, die üblicherweise von CSIRT (Computer Security Incident Response Response Teams) über Computersicherheitsvorfälle ausgetauscht werden. |
| IDMEF (RFC4765) | Experimentell - Der Zweck des Intrusion Detection Message Exchange Format (IDMEF) besteht darin, Datenformate und Austauschverfahren zum Austausch von Informationen für Intrusion Detection- und Antwortsysteme sowie an die Managementsysteme zu definieren, die möglicherweise mit ihnen interagieren müssen. |
| Maec | Die MAEC -Projekte (Malware Attribut Aufzählung und Charakterisierung) zielen darauf ab, eine standardisierte Sprache für die Freigabe strukturierter Informationen über Malware zu erstellen und bereitzustellen, die auf Attributen wie Verhalten, Artefakten und Angriffsmustern basiert. |
| Openc2 | Oasis Open Command and Control (OpenC2) Technischer Ausschuss. Der OpenC2 TC wird seine Bemühungen auf Artefakte stützen, die vom OpenC2 -Forum erzeugt werden. Vor der Schaffung dieses TC und der Spezifikation war das OpenC2-Forum eine Gemeinschaft von Cyber-Sicherheits-Stakeholdern, die von der National Security Agency (NSA) erleichtert wurde. Der OpenC2 TC wurde gechartert, um Dokumente, Spezifikationen, Lexonen oder andere Artefakte zu entwerfen, um die Bedürfnisse des Cyber -Sicherheitsbefehls und der Kontrolle standardisiert zu erfüllen. |
| Stix 2.0 | Die STIX -Sprache (Structured Bedrohungsinformation Expression) ist ein standardisiertes Konstrukt zur Darstellung von Cyber -Bedrohungsinformationen. Die Stix -Sprache beabsichtigt, die gesamte Auswahl an potenziellen Cyber -Bedrohungsinformationen zu vermitteln, und bemüht sich, vollständig ausdrucksstark, flexibel, erweiterbar und automatisch zu sein. STIX erlaubt nicht nur Werkzeug-Agnostic-Felder, sondern liefert auch sogenannte Testmechanismen , die Mittel zum Einbetten von Toolspezifischen Elementen bieten, einschließlich OpenIOC, YARA und SNORT. Stix 1.x wurde hier archiviert. |
| Taxii | Der vertrauenswürdige automatisierte Austausch von Indikatorinformationen (Taxii) definiert eine Reihe von Diensten und Nachrichtenaustausch, die bei der Implementierung die Austausch umsetzbarer Cyber -Bedrohungsinformationen über Organisationen und Produkt- und Dienstleistungsgrenzen übertragen werden. Taxii definiert Konzepte, Protokolle und Nachrichtenaustausch zum Austausch von Cyber -Bedrohungsinformationen für die Erkennung, Prävention und Minderung von Cyber -Bedrohungen. |
| Veris | Das Wortschatz für die Ereignisaufzeichnung und die Freigabe von Vorfällen (Veris) ist eine Reihe von Metriken, die eine gemeinsame Sprache für die Beschreibung von Sicherheitsvorfällen auf strukturierte und wiederholbare Weise bieten. Veris ist eine Reaktion auf eine der kritischsten und anhaltendsten Herausforderungen in der Sicherheitsbranche - ein Mangel an Qualitätsinformationen. Veris sammelt nicht nur ein strukturiertes Format, sondern sammelt auch Daten aus der Community, um über Verstöße im Report von Verizon Data Breach Investigations (DBIR) zu melden und diese Datenbank online in einem Github repository.org zu veröffentlichen. |
Frameworks, Plattformen und Dienste zum Sammeln, Analysieren, Erstellen und Teilen von Bedrohungsintelligen.
| Missbraucher | Misssehelper ist ein Open-Source-Rahmen für den Empfang und die Umverteilung von Missbrauchsvorschriften und Bedrohung Intel. |
| Missseio | Ein Toolkit, um Endbenutzer über Missbrauchsberichte zu empfangen, zu verarbeiten, zu korrelieren und zu benachrichtigen, wodurch Bedrohungsintelligenz -Feeds konsumiert werden. |
| Ais | Die Cybersecurity and Infrastructure Security Agency (CISA) Free Automated Indicator Sharing (AIS) -Capabilität ermöglicht den Austausch von Cyber -Bedrohungsindikatoren zwischen der Bundesregierung und dem Privatsektor mit Maschinengeschwindigkeit. Bedrohungsindikatoren sind Informationen wie bösartige IP -Adressen oder die Absenderadresse einer Phishing -E -Mail (obwohl sie auch viel komplizierter sein können). |
| Bärtiger Rächer | Der schnellste Weg, um Bedrohungsinformationen zu konsumieren. Nachfolger von CIF. |
| Blueliv Bedrohungsaustausch -Netzwerk | Ermöglicht den Teilnehmern, Bedrohungsindikatoren mit der Community auszutauschen. |
| Kortex | Mit Cortex können Observablen wie IPs, E -Mail -Adressen, URLs, Domainnamen, Dateien oder Hashes nach einem oder im Massenmodus mit einer einzigen Webschnittstelle einzeln analysiert werden. Die Webschnittstelle fungiert als Frontend für zahlreiche Analysatoren und beseitigt die Notwendigkeit, diese selbst während der Analyse zu integrieren. Analysten können auch die Cortex -REST -API verwenden, um Teile ihrer Analyse zu automatisieren. |
| KRITS | Crits ist eine Plattform, die den Analysten die Möglichkeit bietet, kollaborative Forschung zu Malware und Bedrohungen durchzuführen. Es steckt in ein zentrales Intelligenzdaten -Repository, kann aber auch als private Instanz verwendet werden. |
| CIF | Mit dem Collective Intelligence Framework (CIF) können Sie bekannte böswillige Bedrohungsinformationen aus vielen Quellen kombinieren und diese Informationen für IR, Erkennung und Minderung verwenden. Code auf GitHub verfügbar. |
| Ctix | CTIX ist eine intelligente Plattform für die Bedrohung intelligent, Anreicherung, Analyse und bidirektionale Teile von Bedrohungsdaten in Ihrem vertrauenswürdigen Netzwerk. |
| Eclecticiq -Plattform | Die Eclecticiq-Plattform ist eine STIX/Taxii-basierte Bedrohungsinformationsplattform (TIP), die die Bedrohungsanalysten dazu ermöglicht, schnellere, bessere und tiefere Untersuchungen durchzuführen und gleichzeitig die Intelligenz bei Maschinengeschwindigkeit zu verbreiten. |
| Intelmq | IntelMQ ist eine Lösung für Zertifikate zum Sammeln und Verarbeiten von Sicherheitsvorschriften, Pastebins und Tweets mit einem Meldungswarteschlangenprotokoll. Es handelt sich um eine von der Gemeinschaft angetriebene Initiative namens IHAP (Incident -Handling -Automatisierungsprojekt), die während mehrerer INFOSEC -Veranstaltungen konzeptionell von europäischen Zertifikaten entworfen wurde. Das Hauptziel ist es, den Vorfällen eine einfache Möglichkeit zu geben, Bedrohungsintelligenz zu sammeln und zu verarbeiten, wodurch die Certs -Prozesse der Vorfälle verbessert werden. |
| Intelowl | Intel Owl ist eine OSINT -Lösung, um Bedrohungsinformationsdaten über eine bestimmte Datei, eine IP oder eine Domäne aus einer einzelnen API im Maßstab zu erhalten. Intel Owl besteht aus Analysatoren, die ausgeführt werden können, um Daten aus externen Quellen (wie Virustotal oder Missbrauchseipdb) abzurufen oder um Intel aus internen Analysatoren (wie Yara oder Oletools) zu erzeugen. Es kann leicht in Ihren Stapel von Sicherheitstools (Pyintelowl) integriert werden, um gemeinsame Jobs zu automatisieren, die normalerweise von SOC -Analysten manuell ausgeführt werden. |
| Kaspersky Threat Intelligence Portal | Eine Website, die eine Wissensbasis bietet, die Cyber -Bedrohungen, legitime Objekte und ihre Beziehungen beschreibt, brachte zu einem einzigen Webdienst zusammen. Das Abonnieren des Bedrohungsportals von Kaspersky Lab bietet Ihnen einen einzigen Eintrittspunkt für vier komplementäre Dienste: Kaspersky Threat Data Feeds, Threat Intelligence Reporting, Kaspersky Threat Lookup und Kaspersky Research Sandbox. |
| Malstrom | Maalstrom ist ein Repository für Bedrohungsverfolgung und forensische Artefakte, speichert aber auch Yara -Regeln und -Ants für die Untersuchung. Hinweis: Das GitHub -Projekt wurde archiviert (keine neuen Beiträge akzeptiert). |
| Manati | Das Manati -Projekt unterstützt den Bedrohungsanalyst durch die Verwendung maschineller Lerntechniken, die automatisch neue Beziehungen und Schlussfolgerungen finden. |
| GOTTESANBETERIN | Die modellbasierte Analyse von MANTIS (MANTIS) Cyber Threat Intelligence Management-Framework von Threat Intelligence Quellen (Mantis) unterstützt das Management von Cyber Threat Intelligence, das in verschiedenen Standardsprachen wie STIX und CYBOX ausgedrückt wird. Es ist * nicht * bereit für eine großflächige Produktion. |
| Megatron | Megatron ist ein von Cert-SE implementiertes Tool, das schlechte IPS sammelt und analysiert, kann verwendet werden, um Statistiken zu berechnen, Protokolldateien zu konvertieren und zu analysieren sowie in Missbrauch und Vorfällen zu behandeln. |
| Minemelde | Ein erweiterbares Rahmen für Intelligenzverarbeitungsverarbeitungen erstellte Palo Alto -Netzwerke. Es kann verwendet werden, um Listen von Indikatoren zu manipulieren und sie für den Konsum durch Durchsetzungsinfrastruktur Dritter zu transformieren und/oder zu aggregieren. |
| MISP | Die Malware Information Sharing Platform (MISP) ist eine Open -Source -Softwarelösung zum Sammeln, Speichern, Verteilungsverteilungen und Teilen von Cyber -Sicherheitsindikatoren und Malware -Analysen. |
| N6 | N6 (Network Security Incident Exchange) ist ein System zum Sammeln, Verwalten und Verteilen von Sicherheitsinformationen in großem Maßstab. Die Verteilung wird durch eine einfache REST -API und eine Weboberfläche realisiert, mit der autorisierte Benutzer verschiedene Arten von Daten empfangen können, insbesondere Informationen zu Bedrohungen und Vorfällen in ihren Netzwerken. Es wurde von CertSka entwickelt. |
| Openenck | OpenCti, die Open Cyber Threat Intelligence -Plattform, ermöglicht es Unternehmen, ihre Kenntnisse und Observablen in Cyber Threat Intelligence zu verwalten. Das Ziel ist es, technische und nichttechnische Informationen über Cyber-Bedrohungen zu strukturieren, zu speichern, zu organisieren und zu visualisieren. Die Daten sind um ein Wissensschema auf der Grundlage der STIX2 -Standards strukturiert. OpenCti kann in andere Tools und Plattformen integriert werden, einschließlich MISP, TheHive und Gehrung Att & CK, AO |
| OpenIOC | OpenIOC ist ein offener Rahmen für den Austausch von Bedrohungsintelligen. Es wurde entwickelt, um Bedrohungsinformationen sowohl intern als auch extern in einem maschinellen verdaulichen Format auszutauschen. |
| Opentaxii | Openentaxii ist eine robuste Python -Implementierung von Taxii -Diensten, die ein reichhaltiges Feature -Set und eine freundliche pythonische API bieten, die auf einer gut gestalteten Anwendung basiert. |
| Ostica | Ein open-Source-Plugin-orientiertes Framework zum Sammeln und Visualisieren von Bedrohungsintelligenzinformationen. |
| OTX - Austausch offener Bedrohung | AlienVault Open Threat Exchange (OTX) bietet einen offenen Zugang zu einer globalen Gemeinschaft von Bedrohungsforschern und Sicherheitsfachleuten. Es liefert die von der Gemeinschaft erstellten Bedrohungsdaten, ermöglicht die kollaborative Forschung und automatisiert den Prozess der Aktualisierung Ihrer Sicherheitsinfrastruktur mit Bedrohungsdaten aus jeder Quelle. |
| Austausch von Open Threat Partner | Der Open-Bedrohungs-Partner-Exchange (OpenTPX) besteht aus einem Open-Source-Format und Tools zum Austausch von Daten zur maschinellen Lesbaren von Intelligenz- und Netzwerksicherheitsvorgängen. Es handelt sich um ein JSON-basiertes Format, mit dem Daten zwischen verbundenen Systemen geteilt werden können. |
| Passivetotal | Die von RiskIQ angebotene Passivetotalplattform ist eine Bedrohungsanalyseplattform, die Analysten so viele Daten wie möglich liefert, um Angriffe zu verhindern, bevor sie stattfinden. Es werden verschiedene Arten von Lösungen sowie Integrationen (APIs) in andere Systeme angeboten. |
| Pulsierend | Pulsierung ist eine kostenlose Plattform für die Intelligenz in der Community Threat, die Open-Source-Feeds verbraucht, die IOCs anreichert und sie durch einen Risiko-Scoring-Algorithmus führt, um die Qualität der Daten zu verbessern. Es ermöglicht Benutzern, IOCs einzureichen, zu suchen, zu korrelieren und zu aktualisieren. Listet "Risikofaktoren" dafür auf, warum IOCs ein höheres Risiko sind. and provides a high level view of threats and threat activity. |
| Recorded Future | Recorded Future is a premium SaaS product that automatically unifies threat intelligence from open, closed, and technical sources into a single solution. Their technology uses natural language processing (NLP) and machine learning to deliver that threat intelligence in real time — making Recorded Future a popular choice for IT security teams. |
| Scumblr | Scumblr is a web application that allows performing periodic syncs of data sources (such as Github repositories and URLs) and performing analysis (such as static analysis, dynamic checks, and metadata collection) on the identified results. Scumblr helps you streamline proactive security through an intelligent automation framework to help you identify, track, and resolve security issues faster. |
| STAXX (Anomali) | Anomali STAXX™ gives you a free, easy way to subscribe to any STIX/TAXII feed. Simply download the STAXX client, configure your data sources, and STAXX will handle the rest. |
| stoQ | stoQ is a framework that allows cyber analysts to organize and automate repetitive, data-driven tasks. It features plugins for many other systems to interact with. One use case is the extraction of IOCs from documents, an example of which is shown here, but it can also be used for deobfuscationg and decoding of content and automated scanning with YARA, for example. |
| TARDIS | The Threat Analysis, Reconnaissance, and Data Intelligence System (TARDIS) is an open source framework for performing historical searches using attack signatures. |
| Bedrohung | ThreatConnect is a platform with threat intelligence, analytics, and orchestration capabilities. It is designed to help you collect data, produce intelligence, share it with others, and take action on it. |
| ThreatCrowd | ThreatCrowd is a system for finding and researching artefacts relating to cyber threats. |
| ThreatPipes | Stay two steps ahead of your adversaries. Get a complete picture of how they will exploit you. ThreatPipes is a reconnaissance tool that automatically queries 100's of data sources to gather intelligence on IP addresses, domain names, e-mail addresses, names and more. You simply specify the target you want to investigate, pick which modules to enable and then ThreatPipes will collect data to build up an understanding of all the entities and how they relate to each other. |
| ThreatExchange | Facebook created ThreatExchange so that participating organizations can share threat data using a convenient, structured, and easy-to-use API that provides privacy controls to enable sharing with only desired groups. This project is still in beta . Reference code can be found at GitHub. |
| TypeDB CTI | TypeDB Data - CTI is an open source threat intelligence platform for organisations to store and manage their cyber threat intelligence (CTI) knowledge. It enables threat intel professionals to bring together their disparate CTI information into one database and find new insights about cyber threats. This repository provides a schema that is based on STIX2, and contains MITRE ATT&CK as an example dataset to start exploring this threat intelligence platform. More in this blog post. |
| VirusBay | VirusBay is a web-based, collaboration platform that connects security operations center (SOC) professionals with relevant malware researchers. |
| threatnote.io | The new and improved threatnote.io - A tool for CTI analysts and teams to manage intel requirements, reporting, and CTI processes in an all-in-one platform |
| XFE - X-Force Exchange | The X-Force Exchange (XFE) by IBM XFE is a free SaaS product that you can use to search for threat intelligence information, collect your findings, and share your insights with other members of the XFE community. |
| Yeti | The open, distributed, machine and analyst-friendly threat intelligence repository. Made by and for incident responders. |
All kinds of tools for parsing, creating and editing Threat Intelligence. Mostly IOC based.
| ActorTrackr | ActorTrackr is an open source web application for storing/searching/linking actor related data. The primary sources are from users and various public repositories. Source available on GitHub. |
| AIEngine | AIEngine is a next generation interactive/programmable Python/Ruby/Java/Lua packet inspection engine with capabilities of learning without any human intervention, NIDS(Network Intrusion Detection System) functionality, DNS domain classification, network collector, network forensics and many others. |
| AIOCRIOC | Artificial Intelligence Ocular Character Recognition Indicator of Compromise (AIOCRIOC) is a tool that combines web scraping, the OCR capabilities of Tesseract and OpenAI compatible LLM API's such as GPT-4 to parse and extract IOCs from reports and other web content including embedded images with contextual data. |
| Analyze (Intezer) | Analyze is an all-in-one malware analysis platform that is able to perform static, dynamic, and genetic code analysis on all types of files. Users can track malware families, extract IOCs/MITRE TTPs, and download YARA signatures. There is a community edition to get started for free. |
| Automater | Automater is a URL/Domain, IP Address, and Md5 Hash OSINT tool aimed at making the analysis process easier for intrusion Analysts. |
| BlueBox | BlueBox is an OSINT solution to get threat intelligence data about a specific file, an IP, a domain or URL and analyze them. |
| BotScout | BotScout helps prevent automated web scripts, known as "bots", from registering on forums, polluting databases, spreading spam, and abusing forms on web sites. |
| bro-intel-generator | Script for generating Bro intel files from pdf or html reports. |
| Kutscher | A simple Python library for interacting with TAXII servers. |
| cacador | Cacador is a tool written in Go for extracting common indicators of compromise from a block of text. |
| Kombinieren | Combine gathers Threat Intelligence Feeds from publicly available sources. |
| CrowdFMS | CrowdFMS is a framework for automating collection and processing of samples from VirusTotal, by leveraging the Private API system. The framework automatically downloads recent samples, which triggered an alert on the users YARA notification feed. |
| CyberGordon | CyberGordon is a threat intelligence search engine. It leverages 30+ sources. |
| CyBot | CyBot is a threat intelligence chat bot. It can perform several types of lookups offered by custom modules. |
| Cuckoo Sandbox | Cuckoo Sandbox is an automated dynamic malware analysis system. It's the most well-known open source malware analysis sandbox around and is frequently deployed by researchers, CERT/SOC teams, and threat intelligence teams all around the globe. For many organizations Cuckoo Sandbox provides a first insight into potential malware samples. |
| Fenrir | Simple Bash IOC Scanner. |
| FireHOL IP Aggregator | Application for keeping feeds from FireHOL blocklist-ipsets with IP addresses appearance history. HTTP-based API service is developed for search requests. |
| Forager | Multithreaded threat intelligence hunter-gatherer script. |
| Gigasheet | Gigasheet is a SaaS product used to analyze massive, and disparate cybersecurity data sets. Import massive log files, netflow, pcaps, big CSVs and more. |
| GoatRider | GoatRider is a simple tool that will dynamically pull down Artillery Threat Intelligence Feeds, TOR, AlienVaults OTX, and the Alexa top 1 million websites and do a comparison to a hostname file or IP file. |
| Google APT Search Engine | APT Groups, Operations and Malware Search Engine. The sources used for this Google Custom Search are listed on this GitHub gist. |
| GOSINT | The GOSINT framework is a free project used for collecting, processing, and exporting high quality public indicators of compromise (IOCs). |
| hashdd | A tool to lookup related information from crytographic hash value |
| Harbinger Threat Intelligence | Python script that allows to query multiple online threat aggregators from a single interface. |
| Hippocampe | Hippocampe aggregates threat feeds from the Internet in an Elasticsearch cluster. It has a REST API which allows to search into its 'memory'. It is based on a Python script which fetchs URLs corresponding to feeds, parses and indexes them. |
| Hiryu | A tool to organize APT campaign information and to visualize relations between IOCs. |
| IOC Editor | A free editor for Indicators of Compromise (IOCs). |
| IOC Finder | Python library for finding indicators of compromise in text. Uses grammars rather than regexes for improved comprehensibility. As of February, 2019, it parses over 18 indicator types. |
| IOC Fanger (and Defanger) | Python library for fanging (`hXXp://example[.]com` => `http://example.com`) and defanging (`http://example.com` => `hXXp://example[.]com`) indicators of compromise in text. |
| ioc_parser | Tool to extract indicators of compromise from security reports in PDF format. |
| ioc_writer | Provides a Python library that allows for basic creation and editing of OpenIOC objects. |
| iocextract | Extracts URLs, IP addresses, MD5/SHA hashes, email addresses, and YARA rules from text corpora. Includes some encoded and “defanged” IOCs in the output, and optionally decodes/refangs them. |
| IOCextractor | IOC (Indicator of Compromise) Extractor is a program to help extract IOCs from text files. The general goal is to speed up the process of parsing structured data (IOCs) from unstructured or semi-structured data |
| ibmxforceex.checker.py | Python client for the IBM X-Force Exchange. |
| jager | Jager is a tool for pulling useful IOCs (indicators of compromise) out of various input sources (PDFs for now, plain text really soon, webpages eventually) and putting them into an easy to manipulate JSON format. |
| Kaspersky CyberTrace | Threat intelligence fusion and analysis tool that integrates threat data feeds with SIEM solutions. Users can immediately leverage threat intelligence for security monitoring and incident report (IR) activities in the workflow of their existing security operations. |
| KLara | KLara, a distributed system written in Python, allows researchers to scan one or more Yara rules over collections with samples, getting notifications by e-mail as well as the web interface when scan results are ready. |
| libtaxii | A Python library for handling TAXII Messages invoking TAXII Services. |
| Loki | Simple IOC and Incident Response Scanner. |
| Nachschlagen | LookUp is a centralized page to get various threat information about an IP address. It can be integrated easily into context menus of tools like SIEMs and other investigative tools. |
| Machinae | Machinae is a tool for collecting intelligence from public sites/feeds about various security-related pieces of data: IP addresses, domain names, URLs, email addresses, file hashes and SSL fingerprints. |
| MalPipe | Amodular malware (and indicator) collection and processing framework. It is designed to pull malware, domains, URLs and IP addresses from multiple feeds, enrich the collected data and export the results. |
| MISP Workbench | Tools to export data out of the MISP MySQL database and use and abuse them outside of this platform. |
| MISP-Taxii-Server | A set of configuration files to use with EclecticIQ's OpenTAXII implementation, along with a callback for when data is sent to the TAXII Server's inbox. |
| MSTIC Jupyter and Python Security Tools | msticpy is a library for InfoSec investigation and hunting in Jupyter Notebooks. |
| nyx | The goal of this project is to facilitate distribution of Threat Intelligence artifacts to defensive systems and to enhance the value derived from both open source and commercial tools. |
| OneMillion | Python library to determine if a domain is in the Alexa or Cisco top, one million domain lists. |
| openioc-to-stix | Generate STIX XML from OpenIOC XML. |
| Omnibus | Omnibus is an interactive command line application for collecting and managing IOCs/artifacts (IPs, Domains, Email Addresses, Usernames, and Bitcoin Addresses), enriching these artifacts with OSINT data from public sources, and providing the means to store and access these artifacts in a simple way. |
| OSTIP | A homebrew threat data platform. |
| poortego | Open-source project to handle the storage and linking of open-source intelligence (ala Maltego, but free as in beer and not tied to a specific / proprietary database). Originally developed in ruby, but new codebase completely rewritten in python. |
| PyIOCe | PyIOCe is an IOC editor written in Python. |
| QRadio | QRadio is a tool/framework designed to consolidate cyber threats intelligence sources. The goal of the project is to establish a robust modular framework for extraction of intelligence data from vetted sources. |
| rastrea2r | Collecting & Hunting for Indicators of Compromise (IOC) with gusto and style! |
| Redline | A host investigations tool that can be used for, amongst others, IOC analysis. |
| RITA | Real Intelligence Threat Analytics (RITA) is intended to help in the search for indicators of compromise in enterprise networks of varying size. |
| Softrace | Lightweight National Software Reference Library RDS storage. |
| sqhunter | Threat hunter based on osquery, Salt Open and Cymon API. It can query open network sockets and check them against threat intelligence sources |
| SRA TAXII2 Server | Full TAXII 2.0 specification server implemented in Node JS with MongoDB backend. |
| Stixvalidator.com | Stixvalidator.com is an online free STIX and STIX2 validator service. |
| Stixview | Stixview is a JS library for embeddable interactive STIX2 graphs. |
| stix-viz | STIX Visualization Tool. |
| TAXII Test Server | Allows you to test your TAXII environment by connecting to the provided services and performing the different functions as written in the TAXII specifications. |
| threataggregator | ThreatAggregrator aggregates security threats from a number of online sources, and outputs to various formats, including CEF, Snort and IPTables rules. |
| threatcrowd_api | Python Library for ThreatCrowd's API. |
| threatcmd | Cli interface to ThreatCrowd. |
| Threatelligence | Threatelligence is a simple cyber threat intelligence feed collector, using Elasticsearch, Kibana and Python to automatically collect intelligence from custom or public sources. Automatically updates feeds and tries to further enhance data for dashboards. Projects seem to be no longer maintained, however. |
| ThreatIngestor | Flexible, configuration-driven, extensible framework for consuming threat intelligence. ThreatIngestor can watch Twitter, RSS feeds, and other sources, extract meaningful information like C2 IPs/domains and YARA signatures, and send that information to other systems for analysis. |
| ThreatPinch Lookup | An extension for Chrome that creates hover popups on every page for IPv4, MD5, SHA2, and CVEs. It can be used for lookups during threat investigations. |
| ThreatTracker | A Python script designed to monitor and generate alerts on given sets of IOCs indexed by a set of Google Custom Search Engines. |
| threat_intel | Several APIs for Threat Intelligence integrated in a single package. Included are: OpenDNS Investigate, VirusTotal and ShadowServer. |
| Threat-Intelligence-Hunter | TIH is an intelligence tool that helps you in searching for IOCs across multiple openly available security feeds and some well known APIs. The idea behind the tool is to facilitate searching and storing of frequently added IOCs for creating your own local database of indicators. |
| tiq-test | The Threat Intelligence Quotient (TIQ) Test tool provides visualization and statistical analysis of TI feeds. |
| YETI | YETI is a proof-of-concept implementation of TAXII that supports the Inbox, Poll and Discovery services defined by the TAXII Services Specification. |
All kinds of reading material about Threat Intelligence. Includes (scientific) research and whitepapers.
| APT & Cyber Criminal Campaign Collection | Extensive collection of (historic) campaigns. Entries come from various sources. |
| APTnotes | A great collection of sources regarding Advanced Persistent Threats (APTs). These reports usually include strategic and tactical knowledge or advice. |
| ATT&CK | Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) is a model and framework for describing the actions an adversary may take while operating within an enterprise network. ATT&CK is a constantly growing common reference for post-access techniques that brings greater awareness of what actions may be seen during a network intrusion. MITRE is actively working on integrating with related construct, such as CAPEC, STIX and MAEC. |
| Building Threat Hunting Strategies with the Diamond Model | Blogpost by Sergio Caltagirone on how to develop intelligent threat hunting strategies by using the Diamond Model. |
| Cyber Analytics Repository by MITRE | The Cyber Analytics Repository (CAR) is a knowledge base of analytics developed by MITRE based on the Adversary Tactics, Techniques, and Common Knowledge (ATT&CK™) threat model. |
| Cyber Threat Intelligence Capability Maturity Model (CTI-CMM) | A new Cyber Threat Intelligence Capability Maturity Model (CTI-CMM) using a stakeholder-first approach and aligned with the Cybersecurity Capability Maturity Model (C2M2) to empower your team and create lasting value. |
| Cyber Threat Intelligence Repository by MITRE | The Cyber Threat Intelligence Repository of ATT&CK and CAPEC catalogs expressed in STIX 2.0 JSON. |
| Cyber Threat Intelligence: A Product Without a Process? | A research paper describing how current cyber threat intelligence products fall short and how they can be improved by introducing and evaluating sound methodologies and processes. |
| Definitive Guide to Cyber Threat Intelligence | Describes the elements of cyber threat intelligence and discusses how it is collected, analyzed, and used by a variety of human and technology consumers. Further examines how intelligence can improve cybersecurity at tactical, operational, and strategic levels, and how it can help you stop attacks sooner, improve your defenses, and talk more productively about cybersecurity issues with executive management in typical for Dummies style. |
| The Detection Maturity Level (DML) | The DML model is a capability maturity model for referencing ones maturity in detecting cyber attacks. It's designed for organizations who perform intel-driven detection and response and who put an emphasis on having a mature detection program. The maturity of an organization is not measured by it's ability to merely obtain relevant intelligence, but rather it's capacity to apply that intelligence effectively to detection and response functions. |
| The Diamond Model of Intrusion Analysis | This paper presents the Diamond Model, a cognitive framework and analytic instrument to support and improve intrusion analysis. Supporting increased measurability, testability and repeatability in intrusion analysis in order to attain higher effectivity, efficiency and accuracy in defeating adversaries is one of its main contributions. |
| The Targeting Process: D3A and F3EAD | F3EAD is a military methodology for combining operations and intelligence. |
| Guide to Cyber Threat Information Sharing by NIST | The Guide to Cyber Threat Information Sharing (NIST Special Publication 800-150) assists organizations in establishing computer security incident response capabilities that leverage the collective knowledge, experience, and abilities of their partners by actively sharing threat intelligence and ongoing coordination. The guide provides guidelines for coordinated incident handling, including producing and consuming data, participating in information sharing communities, and protecting incident-related data. |
| Intelligence Preparation of the Battlefield/Battlespace | This publication discusses intelligence preparation of the battlespace (IPB) as a critical component of the military decision making and planning process and how IPB supports decision making, as well as integrating processes and continuing activities. |
| Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains | The intrusion kill chain as presented in this paper provides one with a structured approach to intrusion analysis, indicator extraction and performing defensive actions. |
| ISAO Standards Organization | The ISAO Standards Organization is a non-governmental organization established on October 1, 2015. Its mission is to improve the Nation's cybersecurity posture by identifying standards and guidelines for robust and effective information sharing related to cybersecurity risks, incidents, and best practices. |
| Joint Publication 2-0: Joint Intelligence | This publication by the US army forms the core of joint intelligence doctrine and lays the foundation to fully integrate operations, plans and intelligence into a cohesive team. The concepts presented are applicable to (Cyber) Threat Intelligence too. |
| Microsoft Research Paper | A framework for cybersecurity information sharing and risk reduction. A high level overview paper by Microsoft. |
| MISP Core Format (draft) | This document describes the MISP core format used to exchange indicators and threat information between MISP (Malware Information and threat Sharing Platform) instances. |
| NECOMA Project | The Nippon-European Cyberdefense-Oriented Multilayer threat Analysis (NECOMA) research project is aimed at improving threat data collection and analysis to develop and demonstratie new cyberdefense mechanisms. As part of the project several publications and software projects have been published. |
| Pyramid of Pain | The Pyramid of Pain is a graphical way to express the difficulty of obtaining different levels of indicators and the amount of resources adversaries have to expend when obtained by defenders. |
| Structured Analytic Techniques For Intelligence Analysis | This book contains methods that represent the most current best practices in intelligence, law enforcement, homeland security, and business analysis. |
| Threat Intelligence: Collecting, Analysing, Evaluating | This report by MWR InfoSecurity clearly describes several different types of threat intelligence, including strategic, tactical and operational variations. It also discusses the processes of requirements elicitation, collection, analysis, production and evaluation of threat intelligence. Also included are some quick wins and a maturity model for each of the types of threat intelligence defined by MWR InfoSecurity. |
| Threat Intelligence Sharing Platforms: An Exploratory Study of Software Vendors and Research Perspectives | A systematic study of 22 Threat Intelligence Sharing Platforms (TISP) surfacing eight key findings about the current state of threat intelligence usage, its definition and TISPs. |
| Traffic Light Protocol | The Traffic Light Protocol (TLP) is a set of designations used to ensure that sensitive information is shared with the correct audience. It employs four colors to indicate different degrees of sensitivity and the corresponding sharing considerations to be applied by the recipient(s). |
| Unit42 Playbook Viewer | The goal of the Playbook is to organize the tools, techniques, and procedures that an adversary uses into a structured format, which can be shared with others, and built upon. The frameworks used to structure and share the adversary playbooks are MITRE's ATT&CK Framework and STIX 2.0 |
| Who's Using Cyberthreat Intelligence and How? | A whitepaper by the SANS Institute describing the usage of Threat Intelligence including a survey that was performed. |
| WOMBAT Project | The WOMBAT project aims at providing new means to understand the existing and emerging threats that are targeting the Internet economy and the net citizens. To reach this goal, the proposal includes three key workpackages: (i) real time gathering of a diverse set of security related raw data, (ii) enrichment of this input by means of various analysis techniques, and (iii) root cause identification and understanding of the phenomena under scrutiny. |
Licensed under Apache License 2.0.
