awesome threat intelligence
1.0.0
Una lista curada de increíbles recursos de inteligencia de amenazas
Una definición concisa de inteligencia de amenazas: conocimiento basado en evidencia, incluido el contexto, los mecanismos, los indicadores, las implicaciones y el asesoramiento procesable, sobre una amenaza o peligro existente o emergente para los activos que pueden usarse para informar las decisiones sobre la respuesta del sujeto a esa amenaza o peligro .
Siéntete libre de contribuir.
La mayoría de los recursos enumerados a continuación proporcionan listas y/o API para obtener (con suerte) información actualizada con respecto a las amenazas. Sin embargo, algunos consideran estas fuentes como inteligencia de amenazas, las opiniones difieren. Es necesaria una cierta cantidad de análisis (específicos de dominio o negocio) para crear inteligencia de amenazas verdaderas.
| Abusoipdb | AbuseIPDB es un proyecto dedicado a ayudar a combatir la propagación de piratas informáticos, spammers y actividad abusiva en Internet. Su misión es ayudar a que la web sea más segura proporcionando una lista negra central para webmasters, administradores de sistemas y otras partes interesadas para informar y encontrar direcciones IP que se han asociado con actividades maliciosas en línea. |
| Alexa Top 1 millón de sitios | Los 1 millón principales de sitios de Amazon (Alexa). Nunca use esto como una lista blanca. |
| Grupos y operaciones apt | Una hoja de cálculo que contiene información e inteligencia sobre grupos APT, operaciones y tácticas. |
| Lista de prohibición de IP de defensa binaria | Sistemas de defensa binaria Artillery amenazas de inteligencia y alimentación de banel de IP. |
| Ranking BGP | La clasificación de ASN tiene el contenido más malicioso. |
| Rastreador de botnet | Rastrea varios botnets activos. |
| Botvrij.eu | Botvrij.eu proporciona diferentes conjuntos de COI de código abierto que puede usar en sus dispositivos de seguridad para detectar posibles actividades maliciosas. |
| Brutefoblocker | Bruteforceblocker es un script Perl que monitorea los registros SSHD de un servidor e identifica los ataques de fuerza bruta, que luego usa para configurar automáticamente las reglas de bloqueo de firewall y enviar esas IP al sitio del proyecto, http://danger.rulez.sk/projects/bruteforceBlocker/blist.php. |
| Rastreador de C&C | Una alimentación de direcciones IP C&C conocidas, activas y no sencillas, de Bambenek Consulting. Requiere licencia para uso comercial. |
| Certstream | Certificado de tiempo real Certificado de registro de registro de actualización. Consulte los certificados SSL como se emiten en tiempo real. |
| Certificados de malware del foro CCSS | La siguiente es una lista de certificados digitales que el foro ha informado que posiblemente se asocia con malware a varias autoridades de certificados. Esta información está destinada a ayudar a evitar que las empresas usen certificados digitales para agregar legitimidad al malware y fomentar la revocación rápida de dichos certificados. |
| Lista del ejército de CI | Un subconjunto de la lista de puntajes comerciales de CINS, centrado en las IP que actualmente no están presentes en otras listas de amenazas. |
| Paraguas de Cisco | Probable lista blanca de los 1 millón principales de sitios resueltos por Cisco Umbrella (fue Opendns). |
| Escaneo de virus CloudMersive | CloudMersive Virus escane los archivos de escaneo, URL y almacenamiento en la nube para virus. Aprovechan las firmas actualizadas continuamente para millones de amenazas y capacidades avanzadas de escaneo de alto rendimiento. El servicio es gratuito, pero requiere que se registre para una cuenta para recuperar su clave API personal. |
| Consola de crowdsec | El CTI más grande de origen público, actualizado en tiempo real, gracias a Crowdsec, un software IDS/IPS/IPS de próxima generación de próxima generación, de código abierto. Crowdsec puede analizar el comportamiento de los visitantes y proporcionar una respuesta adaptada a todo tipo de ataques. Los usuarios pueden compartir sus alertas sobre las amenazas con la comunidad y beneficiarse del efecto de la red. Las direcciones IP se recopilan de ataques reales y no provienen exclusivamente de una red de honeypot. |
| Feeds de inteligencia sin ciber cura | Cyber Cure ofrece alimentos gratuitos de inteligencia de amenazas cibernéticas con listas de direcciones IP que actualmente están infectadas y atacando en Internet. Hay una lista de URL utilizadas por malware y una lista de archivos hash de malware conocido que actualmente se está extendiendo. CyberCure está utilizando sensores para recolectar inteligencia con una tasa de falsos positivos muy bajos. La documentación detallada también está disponible. |
| Feeds de inteligencia de amenazas de cyware | Los alimentos de inteligencia de amenazas de Cyware le brindan los valiosos datos de amenazas de una amplia gama de fuentes abiertas y confiables para ofrecer un flujo consolidado de inteligencia de amenazas valiosa y procesable. Nuestra amenaza de Feeds Intel es totalmente compatible con STIX 1.x y 2.0, lo que le brinda la información más reciente sobre hashes de malware malicioso, IP y dominios descubiertos en todo el mundo en tiempo real. |
| Dataplane.org | Dataplane.org es un recurso de datos, alimentos y medición con operadores de Internet con operadores con operadores para operadores. Brindamos un servicio confiable y confiable sin costo. |
| Focsec.com | FOCSEC.com proporciona una API para detectar solicitudes VPN, proxys, bots y tor. Los datos actualizados siempre ayudan a detectar inicios de sesión, fraude y abuso sospechosos. Se pueden encontrar ejemplos de código en la documentación. |
| Digitalside de amenaza | Contiene conjuntos de indicadores de inteligencia de amenazas cibernéticas de código abierto, principalmente basados en el análisis de malware y las URL comprometidas, IPS y dominios. El propósito de este proyecto es desarrollar y probar nuevas formas de cazar, analizar, recopilar y compartir relevantes COI para ser utilizados por SOC/CSIRT/CERT/individuos con un esfuerzo minimunal. Los informes se comparten de tres maneras: STIX2, CSV y MISP Feed. Los informes se publican también en el repositorio Git del proyecto. |
| Dominios de correo electrónico desechables | Una colección de dominios de correo electrónico anónimos o desechables comúnmente utilizados para los servicios de spam/abuso. |
| Senderos DNS | Fuente de inteligencia gratuita para la información del DNS actual e histórico, la información de Whois, encontrar otros sitios web asociados con ciertos IP, conocimiento de subdominios y tecnologías. También hay una API de inteligencia de IP y dominio disponible. |
| Reglas de firewall de amenazas emergentes | Una colección de reglas para varios tipos de firewalls, incluidos IPtables, PF y PIX. |
| Amenazas emergentes Reglas de identificación | Una colección de archivos de reglas Snort y Suricata que se pueden usar para alertar o bloquear. |
| Exonerador | El Servicio de Exonerador mantiene una base de datos de direcciones IP que han sido parte de la red TOR. Responde a la pregunta si había un relé TOR que se ejecuta en una dirección IP dada en una fecha determinada. |
| Explotación | Listado de las últimas exploits lanzadas. |
| Intersección rápida | Intercept Security aloja una serie de listas gratuitas de reputación de IP de su red global de honeypot. |
| Rastreador de Zeus | The Feodo Tracker Abuse.ch rastrea el troyano Feodo. |
| Listas de IP de Firehol | 400+ Feeds de IP disponibles públicamente analizados para documentar su evolución, geo-map, edad de IPS, política de retención, superposiciones. El sitio se centra en el crimen cibernético (ataques, abuso, malware). |
| Fraudeguard | Fraudguard es un servicio diseñado para proporcionar una manera fácil de validar el uso recolectando y analizando continuamente el tráfico de Internet en tiempo real. |
| Nobleza | Greynoise recopila y analiza datos sobre la actividad de escaneo en Internet. Recopila datos sobre escáneres benignos como shodan.io, así como actores maliciosos como SSH y gusanos Telnet. |
| Honeydb | HoneyDB proporciona datos en tiempo real de actividad de honeypot. Estos datos provienen de honeypots desplegados en Internet usando el honeypot Honeypy. Además, HoneyDB proporciona acceso de API a la actividad de honeypot recopilada, que también incluye datos agregados de varios feeds de Honeypot Twitter. |
| Agua helada | 12.805 Reglas gratuitas de Yara creadas por Project Icewater. |
| Infosec - cert -pa | Colección y análisis de muestras de malware, servicio de lista de bloques, base de datos de vulnerabilidades y más. Creado y administrado por Cert-PA. |
| Laboratorios de investigación | Un portal de datos abierto, interactivo y impulsado por API para investigadores de seguridad. Busque en un gran corpus de muestras de archivos, información de reputación agregada y COI extraídos de fuentes públicas. Aumente el desarrollo de Yara con herramientas para generar desencadenantes, tratar con HEX de casos mixtos y generar expresiones regulares compatibles con Base64. |
| I-Blocklist | I-BlockList mantiene varios tipos de listas que contienen direcciones IP que pertenecen a varias categorías. Algunas de estas categorías principales incluyen países, ISP y organizaciones. Otras listas incluyen ataques web, tor, spyware y proxies. Muchos son de uso gratuito y están disponibles en varios formatos. |
| Ipsum | IPSUM es un feed de inteligencia de amenazas basado en más de 30 listas diferentes disponibles públicamente de direcciones IP sospechosas y/o maliciosas. Todas las listas se recuperan y analizan automáticamente a diario (24 h) y el resultado final se lleva a este repositorio. La lista está hecha de direcciones IP junto con un número total de la aparición de la lista (negra) (para cada uno). Creado y administrado por Miroslav StamPar. |
| La inteligencia de amenaza de James Brine se alimenta | Jamesbrine ofrece alimentos diarios de inteligencia de amenazas para direcciones IP maliciosas de honeypots ubicados internacionalmente en la nube e infraestructura privada que cubre una variedad de protocolos que incluyen SSH, FTP, RDP, GIT, SNMP y Redis. Los COI del día anterior están disponibles en STIX2, así como en COI adicionales, como URI sospechosos y dominios recién registrados que tienen una alta probabilidad de uso en campañas de phishing. |
| Datos de amenaza de Kaspersky Feeds | Actualizado e informar continuamente a su negocio o clientes sobre los riesgos y las implicaciones asociadas con las amenazas cibernéticas. Los datos en tiempo real lo ayudan a mitigar las amenazas de manera más efectiva y defenderse de los ataques incluso antes de que sean lanzados. Los alimentos de datos de demostración contienen conjuntos truncados de COI (hasta 1%) en comparación con los comerciales |
| Millones majestuosos | Probable lista blanca de los 1 millón principales de sitios web, clasificados por Majestic. Los sitios se ordenan por el número de subredes de referencia. Se puede encontrar más sobre la clasificación en su blog. |
| Maldatabase | Maldatabase está diseñada para ayudar a la ciencia de datos de malware y los alimentos de inteligencia de amenazas. Los datos proporcionados contienen buena información sobre, entre otros campos, los dominios contactados, la lista de procesos ejecutados y los archivos eliminados por cada muestra. Estos alimentos le permiten mejorar sus herramientas de monitoreo y seguridad. Los servicios gratuitos están disponibles para investigadores de seguridad y estudiantes. |
| Malpedia | El objetivo principal de Malpedia es proporcionar un recurso para la identificación rápida y el contexto procesable al investigar el malware. La apertura a las contribuciones curadas garantizará un nivel de calidad responsable para fomentar la investigación significativa y reproducible. |
| Malshare.com | El Proyecto Malshare es un repositorio público de malware que proporciona a los investigadores acceso gratuito a muestras. |
| Maltiverso | El proyecto Maltiverse es una base de datos de COI grande y enriquecida donde es posible hacer consultas complejas y agregaciones para investigar sobre campañas de malware y sus infraestructuras. También tiene un excelente servicio de consultas a granel del COI. |
| Malwarebazaar | MalwareBazaar es un proyecto de abuso. CH con el objetivo de compartir muestras de malware con la comunidad INFOSEC, los proveedores de AV y los proveedores de inteligencia de amenazas. |
| Lista de dominio de malware | Una lista de búsqueda de dominios maliciosos que también realiza búsqueda inversa y listas de registrantes, centrados en el phishing, los troyanos y los kits de exploits. |
| Patrulla de malware | Malware Patrol proporciona listas de bloques, feeds de datos e inteligencia de amenazas a empresas de todos los tamaños. Debido a que nuestra especialidad es la inteligencia de amenazas cibernéticas, todos nuestros recursos se aseguran de que sea de la más alta calidad posible. Creemos que un equipo de seguridad y sus herramientas son tan buenas como los datos utilizados. Esto significa que nuestros alimentos no están llenos de indicadores raspados y no verificados. Valoramos la calidad sobre la cantidad. |
| Malware-tramphic-analysis.net | Este blog se centra en el tráfico de red relacionado con las infecciones por malware. Contiene ejercicios de análisis de tráfico, tutoriales, muestras de malware, archivos de PCAP de tráfico de red maliciosa y publicaciones técnicas de blog con observaciones. |
| Malwaredomains.com | El proyecto DNS-BH crea y mantiene una lista de dominios que se sabe que se utilizan para propagar malware y spyware. Estos se pueden usar para la detección, así como la prevención (solicitudes DNS de sumidero). |
| Metadefender Cloud | Metadefender Cloud Amenazing Intelligence Feeds contiene nuevas firmas de hash de malware, incluidas MD5, SHA1 y SHA256. Estos nuevos hashes maliciosos han sido vistos por MetaDefender Cloud en las últimas 24 horas. Los feeds se actualizan diariamente con malware recientemente detectado e informado para proporcionar inteligencia de amenazas procesable y oportuna. |
| Proyecto NetLab Opendata | El proyecto NetLab Opendata se presentó al público primero en ISC '2016 el 16 de agosto de 2016. Actualmente proporcionamos múltiples alimentos de datos, incluidos DGA, EK, Malcon, Mirai C2, Mirai-Scanner, Hajime-Scanner y Drdos Reflector. |
| ¡Nothink! | SNMP, SSH, Telnet IPS en la lista negra de los honeypots de Matteo Cantoni |
| Servicios de Normshield | Los servicios de Normshield proporcionan miles de información de dominio (incluida la información de Whois) de la que pueden provenir los posibles ataques de phishing. Los servicios de violación y lista negra también disponibles. Existe un registro gratuito para los servicios públicos para el monitoreo continuo. |
| Amenazas de novaSense | Novasense es el Centro de Inteligencia de Amenazas Snapt y proporciona información y herramientas para la protección preventiva de amenazas y la mitigación de ataque. Novasense protege a los clientes de todos los tamaños de atacantes, abuso, botnets, ataques de DOS y más. |
| Descompuesto | El lector RSS para equipos de ciberseguridad. Convierta cualquier blog en inteligencia de amenazas estructurada y procesable. |
| Feeds OpenPhish | OpenPhish recibe URL de múltiples transmisiones y las analiza utilizando sus algoritmos de detección de phishing patentados. Hay ofertas gratuitas y comerciales disponibles. |
| 0xsi_f33d | Servicio gratuito para detectar dominios de phishing y malware poseídos, IP en la lista negra dentro del ciberespacio portugués. |
| Phishtan | PhishTank ofrece una lista de presuntas URL de phishing. Sus datos provienen de informes humanos, pero también ingieren alimentos externas cuando sea posible. Es un servicio gratuito, pero a veces es necesario registrarse para una clave API. |
| Pickupstix | PickUpstix es una alimentación de inteligencia de amenazas cibernéticas gratuitas, de código abierto y no comercializado. Actualmente, PickUpstix utiliza tres feeds públicos y distribuye alrededor de 100 nuevas piezas de inteligencia cada día. PickUpStix traduce los diversos alimentos en STIX, que puede comunicarse con cualquier servidor TaxII. Los datos son de uso gratuito y son una excelente manera de comenzar a usar la inteligencia de amenazas cibernéticas. |
| Amenazas de resctura Intel Feed | [Res] Cure es un proyecto de inteligencia de amenazas independiente realizado por el equipo de Cruxlabs Crack para mejorar su comprensión de la arquitectura subyacente de los sistemas distribuidos, la naturaleza de la inteligencia de amenazas y cómo recopilar, almacenar, consumir y distribuir inteligencia de amenazas de manera eficiente. Los alimentos se generan cada 6 horas. |
| Prime amenaza de nube de nube intel feed | Los indicadores agregados de compromiso recopilados y verificados cruzados de múltiples fuentes abiertas y respaldadas por la comunidad, enriquecidas y clasificadas utilizando nuestra plataforma de inteligencia. |
| Rutgers IPS en la lista negra | La lista IP de atacantes de SSH Brute Force se crea a partir de un fusionado de IPS observado localmente y IP de 2 horas registradas en badip.com y blocklist.de |
| Sans ICS Dominios sospechosos | Las listas de amenazas de dominios sospechosos de Sans ICS rastrea dominios sospechosos. Ofrece 3 listas categorizadas como sensibilidad alta, media o baja, donde la lista de alta sensibilidad tiene menos falsos positivos, mientras que la lista de baja sensibilidad con más falsos positivos. También hay una lista blanca aprobada de dominios. Finalmente, hay una lista de bloques IP sugerida de Dshield. |
| SecurityScorecard IOCS | Public Access IOC de publicaciones e informes de blogs técnicos de SecurityScorecard. |
| Estadificar | Su analista automatizado de inteligencia de amenazas. Extraer inteligencia legible a la máquina a partir de datos no estructurados. |
| base de la firma | Una base de datos de firmas utilizadas en otras herramientas por NEO23X0. |
| El proyecto Spamhaus | El proyecto Spamhaus contiene múltiples listas de amenazas asociadas con la actividad de spam y malware. |
| Sophoslabs Intelix | Sophoslabs Intelix es la plataforma de inteligencia de amenazas que impulsa los productos y socios de Sophos. Puede acceder a la inteligencia basada en el hash, URL, etc., así como enviar muestras para su análisis. A través de las API REST, puede agregar fácil y rápidamente esta inteligencia de amenazas a sus sistemas. |
| Estimular | Spur proporciona herramientas y datos para detectar VPN, representantes residenciales y bots. El plan gratuito permite a los usuarios buscar una IP y obtener su clasificación, proveedor de VPN, geolocaciones populares detrás de la IP y un contexto más útil. |
| Lista negra SSL | SSL BlackList (SSLBL) es un proyecto mantenido por abuso. Ch. El objetivo es proporcionar una lista de certificados SSL "malos" identificados por abuso. CH para estar asociados con actividades de malware o botnet. SSLBL se basa en huellas digitales de SHA1 de certificados SSL maliciosos y ofrece varias listas negras |
| Statvoo Top 1 millón de sitios | Probable lista blanca de los 1 millón principales de sitios web, clasificados por Statvoo. |
| Strongarm, por redes percipientes | Strongarm es un agujero negro DNS que toma medidas en los indicadores de compromiso al bloquear el comando y el control de malware. Feeds de indicadores gratuitos de los agregados StrongarM, se integra con alimentos comerciales, utiliza alimentos COI de Percipient y opera resolvers y API de DNS para que use para proteger su red y negocios. Strongarm es gratuito para uso personal. |
| Reglas de Siem | Su base de datos de ingeniería de detección. Ver, modificar y desplegar reglas SIEM para la caza y detección de amenazas. |
| Talón | Cisco Talos Intelligence Group es uno de los equipos de inteligencia de amenazas comerciales más grandes del mundo, compuesto por investigadores, analistas e ingenieros de clase mundial. Estos equipos están respaldados por una telemetría inigualable y sistemas sofisticados para crear inteligencia de amenazas precisa, rápida y procesable para clientes, productos y servicios de Cisco. Talos defiende a los clientes de Cisco contra las amenazas conocidas y emergentes, descubre nuevas vulnerabilidades en el software común e interdice las amenazas en la naturaleza antes de que puedan dañar aún más a Internet en general. Talos mantiene los conjuntos de reglas oficiales de Snort.org, Clamav y SpamCop, además de liberar muchas herramientas de investigación y análisis de código abierto. Talos proporciona una interfaz de usuario web fácil de usar para verificar la reputación de un observable. |
| amenacesfeeds.io | amenazfeeds.io enumera alimentos y fuentes de inteligencia de amenazas gratuitas y de código abierto y proporciona enlaces de descarga directa y resúmenes en vivo. |
| amenazfox.abuse.ch | Amenazfox es una plataforma gratuita por abuso. Ch con el objetivo de compartir indicadores de compromiso (COI) asociados con malware con la comunidad INFOSEC, proveedores AV y proveedores de inteligencia de amenazas. |
| Blogs e informes técnicos, por amenazas | Esta fuente se está llenando con el contenido de más de 90 código abierto, blogs de seguridad. Los COI (indicadores de compromiso) se analizan de cada blog y el contenido del blog está formateado en Markdown. |
| Jammer de amenaza | Amenazas Jammer es un servicio API REST que permite a los desarrolladores, ingenieros de seguridad y otros profesionales de TI acceder a datos de inteligencia de amenazas de alta calidad de una variedad de fuentes e integrarlo en sus aplicaciones con el único propósito de detectar y bloquear la actividad maliciosa. |
| Minicero | AmenazMiner se ha creado para los analistas libres de la recopilación de datos y para proporcionarles un portal en el que puedan llevar a cabo sus tareas, desde leer informes hasta girar y enriquecer de datos. El énfasis de amenazas no se trata solo de indicadores de compromiso (COI), sino también de proporcionar a los analistas información contextual relacionada con el COI que están viendo. |
| Direcciones de correo electrónico de malware WSTNPHX | Direcciones de correo electrónico utilizadas por malware recopilado por Vestron Phoronix (WSTNPHX) |
| Undertack.today | Undertack es una plataforma de inteligencia gratuita, comparte IPS e información sobre eventos y ataques sospechosos. El registro es gratuito. |
| Urlhaus | Urlhaus es un proyecto de abuso. CH con el objetivo de compartir URL maliciosas que se están utilizando para la distribución de malware. |
| Virusshare | Virusshare.com es un depósito de muestras de malware para proporcionar investigadores de seguridad, respondedores de incidentes, analistas forenses y el acceso mórbido y curioso a muestras de código malicioso. El acceso al sitio se otorga solo por invitación. |
| Yara-Rules | Un repositorio de código abierto con diferentes firmas de Yara que se compilan, clasifican y se mantienen lo más actualizados posible. |
| 1er alimento de amenaza de pila dual por Mrlooquer | Mrlooquer ha creado la primera amenaza centrada en los sistemas con dual pila. Dado que el protocolo IPv6 ha comenzado a formar parte de las comunicaciones de malware y fraude, es necesario detectar y mitigar las amenazas en ambos protocolos (IPv4 e IPv6). |
Formatos estandarizados para compartir inteligencia de amenazas (en su mayoría IOC).
| Capec | La enumeración y clasificación del patrón de ataque común (CAPEC) es una taxonomía integral de diccionario y clasificación de ataques conocidos que pueden ser utilizados por analistas, desarrolladores, probadores y educadores para avanzar en la comprensión de la comunidad y mejorar las defensas. |
| Cybox | El lenguaje de expresión cibernética observable (Cybox) proporciona una estructura común para representar observables cibernéticos entre las áreas operativas de la seguridad cibernética empresarial que mejora la consistencia, la eficiencia y la interoperabilidad de las herramientas y procesos implementados, así como aumenta la conciencia situacional general al permitir el potencial de intercambio automático detallado, mapeo, detección y análisis de análisis. |
| IODEF (RFC5070) | El formato de intercambio de descripción del objeto incidente (IODEF) define una representación de datos que proporciona un marco para compartir información comúnmente intercambiado por los equipos de respuesta a incidentes de seguridad informática (CSIRTS) sobre incidentes de seguridad informática. |
| IDMEF (RFC4765) | Experimental : el propósito del formato de intercambio de mensajes de detección de intrusos (IDMEF) es definir los formatos de datos y los procedimientos de intercambio para compartir información de interés a los sistemas de detección y respuesta de intrusión y a los sistemas de gestión que pueden necesitar interactuar con ellos. |
| Maec | Los proyectos de enumeración y caracterización de atributos de malware (MAEC) tienen como objetivo crear y proporcionar un lenguaje estandarizado para compartir información estructurada sobre malware basada en atributos como comportamientos, artefactos y patrones de ataque. |
| OpenC2 | OASIS Open Command and Control (OpenC2) Comité técnico. El OPENC2 TC basará sus esfuerzos en los artefactos generados por el foro OpenC2. Antes de la creación de este TC y especificación, el Foro OpenC2 era una comunidad de partes interesadas de seguridad cibernética que fue facilitada por la Agencia de Seguridad Nacional (NSA). El OPENC2 TC fue alquilado para redactar documentos, especificaciones, lexicones u otros artefactos para satisfacer las necesidades del comando y control de seguridad cibernética de manera estandarizada. |
| Stix 2.0 | El lenguaje de expresión de información de amenaza estructurada (STIX) es una construcción estandarizada para representar la información de amenazas cibernéticas. El lenguaje STIX tiene la intención de transmitir la gama completa de información potencial de amenaza cibernética y se esfuerza por ser completamente expresivo, flexible, extensible y automatizable. STIX no solo permite los campos agnósticos de herramientas, sino que también proporciona mecanismos de prueba llamados que proporcionan medios para incrustar elementos específicos de la herramienta, incluidos OpenioC, Yara y Snort. Stix 1.x ha sido archivado aquí. |
| Taxii | El intercambio automatizado de información de indicadores (TaxII) de confianza define un conjunto de servicios e intercambios de mensajes que, cuando se implementan, permiten compartir la información de amenazas cibernéticas procesables a través de la organización y los límites de productos/servicios. Taxii define conceptos, protocolos e intercambios de mensajes para intercambiar información de amenazas cibernéticas para la detección, prevención y mitigación de amenazas cibernéticas. |
| Veris | El vocabulario para la grabación de eventos y el intercambio de incidentes (Veris) es un conjunto de métricas diseñadas para proporcionar un lenguaje común para describir incidentes de seguridad de manera estructurada y repetible. Veris es una respuesta a uno de los desafíos más críticos y persistentes en la industria de la seguridad: la falta de información de calidad. Además de proporcionar un formato estructurado, Veris también recopila datos de la comunidad para informar sobre las infracciones en el Informe de Investigaciones de Investigaciones de Datos de Verizon (DBIR) y publica esta base de datos en línea en un GitHub Repository.org. |
Marcos, plataformas y servicios para recopilar, analizar, crear y compartir la inteligencia de amenazas.
| Abuso | AbuseHelper es un marco de código abierto para recibir y redistribuir los alimentos de abuso y la amenaza Intel. |
| Abuso | Un conjunto de herramientas para recibir, procesar, correlacionar y notificar a los usuarios finales sobre los informes de abuso, consumiendo así las alimentos de inteligencia de amenazas. |
| Ais | La capacidad de intercambio automatizado de intercambio automatizado (AIS) de la Agencia de Seguridad Cibernética e Infraestructura (CISA) permite el intercambio de indicadores de amenazas cibernéticas entre el gobierno federal y el sector privado a velocidad de la máquina. Los indicadores de amenazas son piezas de información como direcciones IP maliciosas o la dirección del remitente de un correo electrónico de phishing (aunque también pueden ser mucho más complicados). |
| Vengador barbudo | La forma más rápida de consumir inteligencia de amenazas. Sucesor de CIF. |
| Red de intercambio de amenazas de Blueliv | Permite a los participantes compartir indicadores de amenazas con la comunidad. |
| Corteza | Cortex permite que los observables, como IPS, direcciones de correo electrónico, URL, nombres de dominio, archivos o hashes, se analicen uno por uno o en modo a granel utilizando una sola interfaz web. La interfaz web actúa como una interfaz para numerosos analizadores, eliminando la necesidad de integrarlos usted mismo durante el análisis. Los analistas también pueden usar la API Cortex REST para automatizar partes de su análisis. |
| Critus | Crits es una plataforma que proporciona a los analistas los medios para realizar investigaciones colaborativas sobre malware y amenazas. Se conecta a un repositorio de datos de inteligencia centralizado, pero también se puede usar como una instancia privada. |
| CIF | El Marco de Inteligencia Colectiva (CIF) le permite combinar información de amenaza maliciosa conocida de muchas fuentes y utilizar esa información para IR, detección y mitigación. Código disponible en GitHub. |
| Ctix | CTIX es una plataforma inteligente de inteligencia de amenazas de cliente cliente (TIP) para la ingestión, enriquecimiento, análisis y intercambio bidireccional de datos de amenazas dentro de su red de confianza. |
| Plataforma eclecticiq | La plataforma ECLECTICIQ es una plataforma de inteligencia de amenazas basada en STIX/Taxii (TIP) que permite a los analistas de amenazas a realizar investigaciones más rápidas, mejores y más profundas al tiempo que difunde la inteligencia en Machine-Speed. |
| Intelmq | IntelMQ es una solución para certificaciones para recopilar y procesar alimentos de seguridad, pastebins, tweets utilizando un protocolo de cola de mensajes. Es una iniciativa impulsada por la comunidad llamada IHAP (Proyecto de automatización de manejo de incidentes) que fue diseñado conceptualmente por Certs europeos durante varios eventos de Infosec. Su objetivo principal es dar a los respondedores de incidentes una manera fácil de recolectar y procesar la inteligencia de amenazas, mejorar los procesos de manejo de incidentes de los certificados. |
| Intelowl | Intel Owl es una solución de OSINT para obtener datos de inteligencia de amenazas sobre un archivo específico, una IP o un dominio de una sola API a escala. Intel Owl está compuesto por analizadores que se pueden ejecutar para recuperar datos de fuentes externas (como Virustotal o AbuseIPDB) o para generar Intel a partir de analizadores internos (como Yara u Oletools). Se puede integrar fácilmente en su pila de herramientas de seguridad (Pyintelowl) para automatizar los trabajos comunes que generalmente realizan, por ejemplo, los analistas de SOC manualmente. |
| Portal de inteligencia de amenazas de Kaspersky | Un sitio web que proporciona una base de conocimiento que describe amenazas cibernéticas, objetos legítimos y sus relaciones, reunida en un solo servicio web. Suscribirse al portal de inteligencia de amenazas del laboratorio de Kaspersky le proporciona un solo punto de entrada a cuatro servicios complementarios: Feeds de datos de amenazas de Kaspersky, informes de inteligencia de amenazas, Kaspersky Amenazas y Kaspersky Research Sandbox, todos disponibles en formatos legibles por humanos y legibles por máquina. |
| Malstrom | Malstrom tiene como objetivo ser un repositorio para el seguimiento de amenazas y los artefactos forenses, pero también almacena reglas y notas de Yara para la investigación. Nota: El proyecto GitHub ha sido archivado (no se aceptan nuevas contribuciones). |
| Manati | El Proyecto Manati ayuda al analista de amenazas al emplear técnicas de aprendizaje automático que encuentran nuevas relaciones e inferencias automáticamente. |
| MANTIS | El análisis del análisis basado en modelos de las fuentes de inteligencia de amenazas (MANTIS) El marco de gestión de inteligencia de amenazas cibernéticas respalda la gestión de la inteligencia de amenazas cibernéticas expresada en varios idiomas estándar, como Stix y Cybox. Sin embargo, * no * listo para la producción a gran escala. |
| Megatrón | Megatron es una herramienta implementada por CERT-SE que recopila y analiza IPS malos, puede usarse para calcular estadísticas, convertir y analizar archivos de registro y en abuso y manejo de incidentes. |
| Minemeld | Un marco de procesamiento de inteligencia de amenazas extensible creó redes Palo Alto. Se puede usar para manipular listas de indicadores y transformarlos y/o agregarlos para el consumo por la infraestructura de aplicación de terceros. |
| Desgracia | La plataforma de intercambio de información de malware (MISP) es una solución de software de código abierto para recopilar, almacenar, distribuir y compartir indicadores de seguridad cibernética y análisis de malware. |
| n6 | N6 (intercambio de incidentes de seguridad de red) es un sistema para recopilar, administrar y distribuir información de seguridad a gran escala. La distribución se realiza a través de una API REST simple y una interfaz web que los usuarios autorizados pueden usar para recibir varios tipos de datos, en particular información sobre amenazas e incidentes en sus redes. Está desarrollado por Cert Polska. |
| Opencti | OpenCti, la plataforma de inteligencia de amenazas cibernéticas abiertas, permite a las organizaciones administrar su conocimiento y observables de inteligencia de amenazas cibernéticas. Su objetivo es estructurar, almacenar, organizar y visualizar información técnica y no técnica sobre amenazas cibernéticas. Los datos se estructuran en torno a un esquema de conocimiento basado en los estándares STIX2. OpenCti se puede integrar con otras herramientas y plataformas, incluidas MISP, Thehive y Miter Att & CK, AO |
| Openioc | Openioc es un marco abierto para compartir la inteligencia de amenazas. Está diseñado para intercambiar información de amenazas tanto interna como externamente en un formato de máquina digerible. |
| Opentaxii | Opentaxii es una implementación robusta de Python de los servicios de TaxII que ofrece un conjunto de características ricas y una API pitónica amigable construida sobre una aplicación bien diseñada. |
| Ostrica | Un marco orientado al complemento de código abierto para recopilar y visualizar la información de inteligencia de amenazas. |
| OTX - Intercambio de amenazas abiertas | AlienVault Open Amenazing Exchange (OTX) proporciona acceso abierto a una comunidad global de investigadores de amenazas y profesionales de la seguridad. Ofrece datos de amenazas generados por la comunidad, permite investigaciones colaborativas y automatiza el proceso de actualización de su infraestructura de seguridad con datos de amenazas de cualquier fuente. |
| Intercambio de socios de amenaza abierta | El intercambio de socios de amenaza abierta (OpENTPX) consiste en un formato de código abierto y herramientas para intercambiar datos de inteligencia de amenazas y operaciones de seguridad de red legibles por máquina. Es un formato basado en JSON que permite compartir datos entre sistemas conectados. |
| Passivetotal | La plataforma passivetotal ofrecida por RiskIQ es una plataforma de análisis de amenazas que proporciona a los analistas la mayor cantidad de datos posible para evitar ataques antes de que ocurran. Se ofrecen varios tipos de soluciones, así como integraciones (API) con otros sistemas. |
| Pulsedivo | Pulsedive es una plataforma gratuita de inteligencia de amenazas comunitarias que consume alimentos de código abierto, enriquece los COI y los ejecuta a través de un algoritmo de puntuación de riesgos para mejorar la calidad de los datos. Permite a los usuarios enviar, buscar, correlacionar y actualizar IOC; Enumera los "factores de riesgo" de por qué los CII son de mayor riesgo; and provides a high level view of threats and threat activity. |
| Recorded Future | Recorded Future is a premium SaaS product that automatically unifies threat intelligence from open, closed, and technical sources into a single solution. Their technology uses natural language processing (NLP) and machine learning to deliver that threat intelligence in real time — making Recorded Future a popular choice for IT security teams. |
| Scumblr | Scumblr is a web application that allows performing periodic syncs of data sources (such as Github repositories and URLs) and performing analysis (such as static analysis, dynamic checks, and metadata collection) on the identified results. Scumblr helps you streamline proactive security through an intelligent automation framework to help you identify, track, and resolve security issues faster. |
| STAXX (Anomali) | Anomali STAXX™ gives you a free, easy way to subscribe to any STIX/TAXII feed. Simply download the STAXX client, configure your data sources, and STAXX will handle the rest. |
| stoQ | stoQ is a framework that allows cyber analysts to organize and automate repetitive, data-driven tasks. It features plugins for many other systems to interact with. One use case is the extraction of IOCs from documents, an example of which is shown here, but it can also be used for deobfuscationg and decoding of content and automated scanning with YARA, for example. |
| TARDIS | The Threat Analysis, Reconnaissance, and Data Intelligence System (TARDIS) is an open source framework for performing historical searches using attack signatures. |
| Amenazas | ThreatConnect is a platform with threat intelligence, analytics, and orchestration capabilities. It is designed to help you collect data, produce intelligence, share it with others, and take action on it. |
| ThreatCrowd | ThreatCrowd is a system for finding and researching artefacts relating to cyber threats. |
| ThreatPipes | Stay two steps ahead of your adversaries. Get a complete picture of how they will exploit you. ThreatPipes is a reconnaissance tool that automatically queries 100's of data sources to gather intelligence on IP addresses, domain names, e-mail addresses, names and more. You simply specify the target you want to investigate, pick which modules to enable and then ThreatPipes will collect data to build up an understanding of all the entities and how they relate to each other. |
| ThreatExchange | Facebook created ThreatExchange so that participating organizations can share threat data using a convenient, structured, and easy-to-use API that provides privacy controls to enable sharing with only desired groups. This project is still in beta . Reference code can be found at GitHub. |
| TypeDB CTI | TypeDB Data - CTI is an open source threat intelligence platform for organisations to store and manage their cyber threat intelligence (CTI) knowledge. It enables threat intel professionals to bring together their disparate CTI information into one database and find new insights about cyber threats. This repository provides a schema that is based on STIX2, and contains MITRE ATT&CK as an example dataset to start exploring this threat intelligence platform. More in this blog post. |
| VirusBay | VirusBay is a web-based, collaboration platform that connects security operations center (SOC) professionals with relevant malware researchers. |
| threatnote.io | The new and improved threatnote.io - A tool for CTI analysts and teams to manage intel requirements, reporting, and CTI processes in an all-in-one platform |
| XFE - X-Force Exchange | The X-Force Exchange (XFE) by IBM XFE is a free SaaS product that you can use to search for threat intelligence information, collect your findings, and share your insights with other members of the XFE community. |
| Yeti | The open, distributed, machine and analyst-friendly threat intelligence repository. Made by and for incident responders. |
All kinds of tools for parsing, creating and editing Threat Intelligence. Mostly IOC based.
| ActorTrackr | ActorTrackr is an open source web application for storing/searching/linking actor related data. The primary sources are from users and various public repositories. Source available on GitHub. |
| AIEngine | AIEngine is a next generation interactive/programmable Python/Ruby/Java/Lua packet inspection engine with capabilities of learning without any human intervention, NIDS(Network Intrusion Detection System) functionality, DNS domain classification, network collector, network forensics and many others. |
| AIOCRIOC | Artificial Intelligence Ocular Character Recognition Indicator of Compromise (AIOCRIOC) is a tool that combines web scraping, the OCR capabilities of Tesseract and OpenAI compatible LLM API's such as GPT-4 to parse and extract IOCs from reports and other web content including embedded images with contextual data. |
| Analyze (Intezer) | Analyze is an all-in-one malware analysis platform that is able to perform static, dynamic, and genetic code analysis on all types of files. Users can track malware families, extract IOCs/MITRE TTPs, and download YARA signatures. There is a community edition to get started for free. |
| Automater | Automater is a URL/Domain, IP Address, and Md5 Hash OSINT tool aimed at making the analysis process easier for intrusion Analysts. |
| BlueBox | BlueBox is an OSINT solution to get threat intelligence data about a specific file, an IP, a domain or URL and analyze them. |
| BotScout | BotScout helps prevent automated web scripts, known as "bots", from registering on forums, polluting databases, spreading spam, and abusing forms on web sites. |
| bro-intel-generator | Script for generating Bro intel files from pdf or html reports. |
| taxista | A simple Python library for interacting with TAXII servers. |
| cacador | Cacador is a tool written in Go for extracting common indicators of compromise from a block of text. |
| Combinar | Combine gathers Threat Intelligence Feeds from publicly available sources. |
| CrowdFMS | CrowdFMS is a framework for automating collection and processing of samples from VirusTotal, by leveraging the Private API system. The framework automatically downloads recent samples, which triggered an alert on the users YARA notification feed. |
| CyberGordon | CyberGordon is a threat intelligence search engine. It leverages 30+ sources. |
| CyBot | CyBot is a threat intelligence chat bot. It can perform several types of lookups offered by custom modules. |
| Cuckoo Sandbox | Cuckoo Sandbox is an automated dynamic malware analysis system. It's the most well-known open source malware analysis sandbox around and is frequently deployed by researchers, CERT/SOC teams, and threat intelligence teams all around the globe. For many organizations Cuckoo Sandbox provides a first insight into potential malware samples. |
| Fenrir | Simple Bash IOC Scanner. |
| FireHOL IP Aggregator | Application for keeping feeds from FireHOL blocklist-ipsets with IP addresses appearance history. HTTP-based API service is developed for search requests. |
| Forrajeador | Multithreaded threat intelligence hunter-gatherer script. |
| Gigasheet | Gigasheet is a SaaS product used to analyze massive, and disparate cybersecurity data sets. Import massive log files, netflow, pcaps, big CSVs and more. |
| GoatRider | GoatRider is a simple tool that will dynamically pull down Artillery Threat Intelligence Feeds, TOR, AlienVaults OTX, and the Alexa top 1 million websites and do a comparison to a hostname file or IP file. |
| Google APT Search Engine | APT Groups, Operations and Malware Search Engine. The sources used for this Google Custom Search are listed on this GitHub gist. |
| GOSINT | The GOSINT framework is a free project used for collecting, processing, and exporting high quality public indicators of compromise (IOCs). |
| hashdd | A tool to lookup related information from crytographic hash value |
| Harbinger Threat Intelligence | Python script that allows to query multiple online threat aggregators from a single interface. |
| Hippocampe | Hippocampe aggregates threat feeds from the Internet in an Elasticsearch cluster. It has a REST API which allows to search into its 'memory'. It is based on a Python script which fetchs URLs corresponding to feeds, parses and indexes them. |
| Hiryu | A tool to organize APT campaign information and to visualize relations between IOCs. |
| IOC Editor | A free editor for Indicators of Compromise (IOCs). |
| IOC Finder | Python library for finding indicators of compromise in text. Uses grammars rather than regexes for improved comprehensibility. As of February, 2019, it parses over 18 indicator types. |
| IOC Fanger (and Defanger) | Python library for fanging (`hXXp://example[.]com` => `http://example.com`) and defanging (`http://example.com` => `hXXp://example[.]com`) indicators of compromise in text. |
| ioc_parser | Tool to extract indicators of compromise from security reports in PDF format. |
| ioc_writer | Provides a Python library that allows for basic creation and editing of OpenIOC objects. |
| iocextract | Extracts URLs, IP addresses, MD5/SHA hashes, email addresses, and YARA rules from text corpora. Includes some encoded and “defanged” IOCs in the output, and optionally decodes/refangs them. |
| IOCextractor | IOC (Indicator of Compromise) Extractor is a program to help extract IOCs from text files. The general goal is to speed up the process of parsing structured data (IOCs) from unstructured or semi-structured data |
| ibmxforceex.checker.py | Python client for the IBM X-Force Exchange. |
| jager | Jager is a tool for pulling useful IOCs (indicators of compromise) out of various input sources (PDFs for now, plain text really soon, webpages eventually) and putting them into an easy to manipulate JSON format. |
| Kaspersky CyberTrace | Threat intelligence fusion and analysis tool that integrates threat data feeds with SIEM solutions. Users can immediately leverage threat intelligence for security monitoring and incident report (IR) activities in the workflow of their existing security operations. |
| KLara | KLara, a distributed system written in Python, allows researchers to scan one or more Yara rules over collections with samples, getting notifications by e-mail as well as the web interface when scan results are ready. |
| libtaxii | A Python library for handling TAXII Messages invoking TAXII Services. |
| Loki | Simple IOC and Incident Response Scanner. |
| Buscar | LookUp is a centralized page to get various threat information about an IP address. It can be integrated easily into context menus of tools like SIEMs and other investigative tools. |
| Machinae | Machinae is a tool for collecting intelligence from public sites/feeds about various security-related pieces of data: IP addresses, domain names, URLs, email addresses, file hashes and SSL fingerprints. |
| MalPipe | Amodular malware (and indicator) collection and processing framework. It is designed to pull malware, domains, URLs and IP addresses from multiple feeds, enrich the collected data and export the results. |
| MISP Workbench | Tools to export data out of the MISP MySQL database and use and abuse them outside of this platform. |
| MISP-Taxii-Server | A set of configuration files to use with EclecticIQ's OpenTAXII implementation, along with a callback for when data is sent to the TAXII Server's inbox. |
| MSTIC Jupyter and Python Security Tools | msticpy is a library for InfoSec investigation and hunting in Jupyter Notebooks. |
| nyx | The goal of this project is to facilitate distribution of Threat Intelligence artifacts to defensive systems and to enhance the value derived from both open source and commercial tools. |
| OneMillion | Python library to determine if a domain is in the Alexa or Cisco top, one million domain lists. |
| openioc-to-stix | Generate STIX XML from OpenIOC XML. |
| General | Omnibus is an interactive command line application for collecting and managing IOCs/artifacts (IPs, Domains, Email Addresses, Usernames, and Bitcoin Addresses), enriching these artifacts with OSINT data from public sources, and providing the means to store and access these artifacts in a simple way. |
| OSTIP | A homebrew threat data platform. |
| poortego | Open-source project to handle the storage and linking of open-source intelligence (ala Maltego, but free as in beer and not tied to a specific / proprietary database). Originally developed in ruby, but new codebase completely rewritten in python. |
| PyIOCe | PyIOCe is an IOC editor written in Python. |
| QRadio | QRadio is a tool/framework designed to consolidate cyber threats intelligence sources. The goal of the project is to establish a robust modular framework for extraction of intelligence data from vetted sources. |
| rastrea2r | Collecting & Hunting for Indicators of Compromise (IOC) with gusto and style! |
| Redline | A host investigations tool that can be used for, amongst others, IOC analysis. |
| RITA | Real Intelligence Threat Analytics (RITA) is intended to help in the search for indicators of compromise in enterprise networks of varying size. |
| Softrace | Lightweight National Software Reference Library RDS storage. |
| sqhunter | Threat hunter based on osquery, Salt Open and Cymon API. It can query open network sockets and check them against threat intelligence sources |
| SRA TAXII2 Server | Full TAXII 2.0 specification server implemented in Node JS with MongoDB backend. |
| Stixvalidator.com | Stixvalidator.com is an online free STIX and STIX2 validator service. |
| Stixview | Stixview is a JS library for embeddable interactive STIX2 graphs. |
| stix-viz | STIX Visualization Tool. |
| TAXII Test Server | Allows you to test your TAXII environment by connecting to the provided services and performing the different functions as written in the TAXII specifications. |
| threataggregator | ThreatAggregrator aggregates security threats from a number of online sources, and outputs to various formats, including CEF, Snort and IPTables rules. |
| threatcrowd_api | Python Library for ThreatCrowd's API. |
| threatcmd | Cli interface to ThreatCrowd. |
| Threatelligence | Threatelligence is a simple cyber threat intelligence feed collector, using Elasticsearch, Kibana and Python to automatically collect intelligence from custom or public sources. Automatically updates feeds and tries to further enhance data for dashboards. Projects seem to be no longer maintained, however. |
| ThreatIngestor | Flexible, configuration-driven, extensible framework for consuming threat intelligence. ThreatIngestor can watch Twitter, RSS feeds, and other sources, extract meaningful information like C2 IPs/domains and YARA signatures, and send that information to other systems for analysis. |
| ThreatPinch Lookup | An extension for Chrome that creates hover popups on every page for IPv4, MD5, SHA2, and CVEs. It can be used for lookups during threat investigations. |
| ThreatTracker | A Python script designed to monitor and generate alerts on given sets of IOCs indexed by a set of Google Custom Search Engines. |
| threat_intel | Several APIs for Threat Intelligence integrated in a single package. Included are: OpenDNS Investigate, VirusTotal and ShadowServer. |
| Threat-Intelligence-Hunter | TIH is an intelligence tool that helps you in searching for IOCs across multiple openly available security feeds and some well known APIs. The idea behind the tool is to facilitate searching and storing of frequently added IOCs for creating your own local database of indicators. |
| tiq-test | The Threat Intelligence Quotient (TIQ) Test tool provides visualization and statistical analysis of TI feeds. |
| YETI | YETI is a proof-of-concept implementation of TAXII that supports the Inbox, Poll and Discovery services defined by the TAXII Services Specification. |
All kinds of reading material about Threat Intelligence. Includes (scientific) research and whitepapers.
| APT & Cyber Criminal Campaign Collection | Extensive collection of (historic) campaigns. Entries come from various sources. |
| APTnotes | A great collection of sources regarding Advanced Persistent Threats (APTs). These reports usually include strategic and tactical knowledge or advice. |
| ATT&CK | Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) is a model and framework for describing the actions an adversary may take while operating within an enterprise network. ATT&CK is a constantly growing common reference for post-access techniques that brings greater awareness of what actions may be seen during a network intrusion. MITRE is actively working on integrating with related construct, such as CAPEC, STIX and MAEC. |
| Building Threat Hunting Strategies with the Diamond Model | Blogpost by Sergio Caltagirone on how to develop intelligent threat hunting strategies by using the Diamond Model. |
| Cyber Analytics Repository by MITRE | The Cyber Analytics Repository (CAR) is a knowledge base of analytics developed by MITRE based on the Adversary Tactics, Techniques, and Common Knowledge (ATT&CK™) threat model. |
| Cyber Threat Intelligence Capability Maturity Model (CTI-CMM) | A new Cyber Threat Intelligence Capability Maturity Model (CTI-CMM) using a stakeholder-first approach and aligned with the Cybersecurity Capability Maturity Model (C2M2) to empower your team and create lasting value. |
| Cyber Threat Intelligence Repository by MITRE | The Cyber Threat Intelligence Repository of ATT&CK and CAPEC catalogs expressed in STIX 2.0 JSON. |
| Cyber Threat Intelligence: A Product Without a Process? | A research paper describing how current cyber threat intelligence products fall short and how they can be improved by introducing and evaluating sound methodologies and processes. |
| Definitive Guide to Cyber Threat Intelligence | Describes the elements of cyber threat intelligence and discusses how it is collected, analyzed, and used by a variety of human and technology consumers. Further examines how intelligence can improve cybersecurity at tactical, operational, and strategic levels, and how it can help you stop attacks sooner, improve your defenses, and talk more productively about cybersecurity issues with executive management in typical for Dummies style. |
| The Detection Maturity Level (DML) | The DML model is a capability maturity model for referencing ones maturity in detecting cyber attacks. It's designed for organizations who perform intel-driven detection and response and who put an emphasis on having a mature detection program. The maturity of an organization is not measured by it's ability to merely obtain relevant intelligence, but rather it's capacity to apply that intelligence effectively to detection and response functions. |
| The Diamond Model of Intrusion Analysis | This paper presents the Diamond Model, a cognitive framework and analytic instrument to support and improve intrusion analysis. Supporting increased measurability, testability and repeatability in intrusion analysis in order to attain higher effectivity, efficiency and accuracy in defeating adversaries is one of its main contributions. |
| The Targeting Process: D3A and F3EAD | F3EAD is a military methodology for combining operations and intelligence. |
| Guide to Cyber Threat Information Sharing by NIST | The Guide to Cyber Threat Information Sharing (NIST Special Publication 800-150) assists organizations in establishing computer security incident response capabilities that leverage the collective knowledge, experience, and abilities of their partners by actively sharing threat intelligence and ongoing coordination. The guide provides guidelines for coordinated incident handling, including producing and consuming data, participating in information sharing communities, and protecting incident-related data. |
| Intelligence Preparation of the Battlefield/Battlespace | This publication discusses intelligence preparation of the battlespace (IPB) as a critical component of the military decision making and planning process and how IPB supports decision making, as well as integrating processes and continuing activities. |
| Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains | The intrusion kill chain as presented in this paper provides one with a structured approach to intrusion analysis, indicator extraction and performing defensive actions. |
| ISAO Standards Organization | The ISAO Standards Organization is a non-governmental organization established on October 1, 2015. Its mission is to improve the Nation's cybersecurity posture by identifying standards and guidelines for robust and effective information sharing related to cybersecurity risks, incidents, and best practices. |
| Joint Publication 2-0: Joint Intelligence | This publication by the US army forms the core of joint intelligence doctrine and lays the foundation to fully integrate operations, plans and intelligence into a cohesive team. The concepts presented are applicable to (Cyber) Threat Intelligence too. |
| Microsoft Research Paper | A framework for cybersecurity information sharing and risk reduction. A high level overview paper by Microsoft. |
| MISP Core Format (draft) | This document describes the MISP core format used to exchange indicators and threat information between MISP (Malware Information and threat Sharing Platform) instances. |
| NECOMA Project | The Nippon-European Cyberdefense-Oriented Multilayer threat Analysis (NECOMA) research project is aimed at improving threat data collection and analysis to develop and demonstratie new cyberdefense mechanisms. As part of the project several publications and software projects have been published. |
| Pyramid of Pain | The Pyramid of Pain is a graphical way to express the difficulty of obtaining different levels of indicators and the amount of resources adversaries have to expend when obtained by defenders. |
| Structured Analytic Techniques For Intelligence Analysis | This book contains methods that represent the most current best practices in intelligence, law enforcement, homeland security, and business analysis. |
| Threat Intelligence: Collecting, Analysing, Evaluating | This report by MWR InfoSecurity clearly describes several different types of threat intelligence, including strategic, tactical and operational variations. It also discusses the processes of requirements elicitation, collection, analysis, production and evaluation of threat intelligence. Also included are some quick wins and a maturity model for each of the types of threat intelligence defined by MWR InfoSecurity. |
| Threat Intelligence Sharing Platforms: An Exploratory Study of Software Vendors and Research Perspectives | A systematic study of 22 Threat Intelligence Sharing Platforms (TISP) surfacing eight key findings about the current state of threat intelligence usage, its definition and TISPs. |
| Traffic Light Protocol | The Traffic Light Protocol (TLP) is a set of designations used to ensure that sensitive information is shared with the correct audience. It employs four colors to indicate different degrees of sensitivity and the corresponding sharing considerations to be applied by the recipient(s). |
| Unit42 Playbook Viewer | The goal of the Playbook is to organize the tools, techniques, and procedures that an adversary uses into a structured format, which can be shared with others, and built upon. The frameworks used to structure and share the adversary playbooks are MITRE's ATT&CK Framework and STIX 2.0 |
| Who's Using Cyberthreat Intelligence and How? | A whitepaper by the SANS Institute describing the usage of Threat Intelligence including a survey that was performed. |
| WOMBAT Project | The WOMBAT project aims at providing new means to understand the existing and emerging threats that are targeting the Internet economy and the net citizens. To reach this goal, the proposal includes three key workpackages: (i) real time gathering of a diverse set of security related raw data, (ii) enrichment of this input by means of various analysis techniques, and (iii) root cause identification and understanding of the phenomena under scrutiny. |
Licensed under Apache License 2.0.
