awesome threat intelligence
1.0.0
Une liste organisée de ressources de renseignement sur les menaces impressionnantes
Une définition concise de l'intelligence des menaces: connaissances fondées sur des preuves, y compris le contexte, les mécanismes, les indicateurs, les implications et les conseils exploitables, sur une menace ou un danger existant ou émergent des actifs qui peuvent être utilisés pour éclairer les décisions concernant la réponse du sujet à cette menace ou à cette menace .
N'hésitez pas à contribuer.
La plupart des ressources énumérées ci-dessous fournissent des listes et / ou des API pour obtenir (espérons-le) des informations à jour concernant les menaces. Certains considèrent ces sources comme des renseignements sur les menaces, les opinions diffèrent cependant. Une certaine quantité d'analyse (domaine ou spécifique à l'entreprise) est nécessaire pour créer une véritable intelligence de menace.
| Abusipdb | ABUSEIPDB est un projet dédié à aider à lutter contre la propagation des pirates, des spammeurs et des activités abusives sur Internet. Sa mission est d'aider à rendre le Web plus sûr en fournissant une liste noire centrale pour les webmasters, les administrateurs système et d'autres parties intéressées à signaler et à trouver des adresses IP qui ont été associées à une activité malveillante en ligne. |
| Alexa Top 1 million de sites | Les 1 millions de sites top d'Amazon (Alexa). N'utilisez jamais cela comme liste blanche. |
| Groupes et opérations apt | Une feuille de calcul contenant des informations et des renseignements sur les groupes, les opérations et les tactiques APT. |
| Binary defense IP Banlist | Systèmes de défense binaire Artillerie Menage Intelligence Feed et IP Banlist Feed. |
| Classement BGP | Classement des ASN ayant le contenu le plus malveillant. |
| Tracker de botnet | Suit plusieurs botnets actifs. |
| Botvrij.eu | Botvrij.eu fournit différents ensembles de CIO open source que vous pouvez utiliser dans vos dispositifs de sécurité pour détecter une éventuelle activité malveillante. |
| Bruteforceblocker | BruteforceBlocker est un script Perl qui surveille les journaux SSHD d'un serveur et identifie les attaques de force brute, qu'il utilise ensuite pour configurer automatiquement les règles de blocage du pare-feu et soumettre ces IPS au site du projet, http://danger.rulez.sk/projects/bruteforceblocker/blishp. |
| C&C Tracker | Un flux d'adresses C&C IP connues, actives et non liées, de Bambenek Consulting. Nécessite une licence à usage commercial. |
| Certificat | Stream de mise à jour du journal de transparence du certificat en temps réel. Voir les certificats SSL tels qu'ils sont délivrés en temps réel. |
| Certificats de logiciels malveillants du forum CCSS | Ce qui suit est une liste de certificats numériques qui ont été signalés par le forum comme étant peut-être associés à des logiciels malveillants à diverses autorités de certificat. Ces informations sont destinées à aider à empêcher les entreprises d'utiliser des certificats numériques pour ajouter une légitimité aux logiciels malveillants et encourager une révocation rapide de ces certificats. |
| Liste de l'armée CI | Un sous-ensemble de la liste des scores commerciaux du CINS, s'est concentré sur des IP mal notés qui ne sont pas actuellement présents sur d'autres listes de menaces. |
| Parapluie de Cisco | La liste blanche probable des 1 million de sites résolues par parapluie Cisco (était OpenDNS). |
| Scan de virus CloudMersive | CloudMersive Virus Scan API Fichiers, URL et stockage cloud pour les virus. Ils tirent parti des signatures à jour en permanence pour des millions de menaces et des capacités de balayage haute performance avancées. Le service est gratuit, mais vous oblige à vous inscrire à un compte pour récupérer votre clé API personnelle. |
| Console en crowdsec | Le plus grand CTI provenant de la foule, mis à jour en temps quasi réel, grâce à Crowdecc, un logiciel IDS / IPS de nouvelle génération, open-source, gratuit et collaboratif. Crowdsec est en mesure d'analyser le comportement des visiteurs et de fournir une réponse adaptée à toutes sortes d'attaques. Les utilisateurs peuvent partager leurs alertes sur les menaces avec la communauté et bénéficier de l'effet du réseau. Les adresses IP sont collectées à partir d'attaques réelles et ne viennent pas exclusivement à partir d'un réseau de pot de miel. |
| Cyber Cure Free Intelligence Feeds | Cyber Cure propose des flux d'intelligence cyber-menace gratuits avec des listes d'adresses IP qui sont actuellement infectées et attaquantes sur Internet. Il existe une liste d'URL utilisées par les logiciels malveillants et une liste de fichiers de hachage de logiciels malveillants connus qui se propagent actuellement. Cybercure utilise des capteurs pour collecter l'intelligence avec un taux de faux positifs très faible. Une documentation détaillée est également disponible. |
| Cyware Threat Intelligence Feeds | Les flux d'intelligence des menaces de Cyware vous apportent les précieuses données de menace d'un large éventail de sources ouvertes et fiables pour fournir un flux consolidé de renseignements de menace précieux et exploitables. Nos flux Intel de menace sont entièrement compatibles avec STIX 1.x et 2.0, vous donnant les dernières informations sur les hachages, IP et domaines malveillants malveillants découverts à travers le monde en temps réel. |
| Dataplane.org | Dataplane.org est une ressource Internet, aliments et mesures alimentés par la communauté pour les opérateurs, par les opérateurs. Nous fournissons un service fiable et digne de confiance sans frais. |
| Focsec.com | FOCCEC.com fournit une API pour détecter les VPN, proxys, bots et demandes TOR. Les données toujours à jour aident à détecter les connexions suspectes, la fraude et les abus. Des exemples de code peuvent être trouvés dans la documentation. |
| Digitalside menace-intel | Contient des ensembles d'indicateurs d'intelligence de cyber-menace open source, principalement basés sur l'analyse des logiciels malveillants et les URL, les IP et les domaines compromis. Le but de ce projet est de développer et de tester de nouvelles façons de chasser, d'analyser, de collecter et de partager des IOC pertinents à utiliser par SOC / CSIRT / CERT / des individus avec un effort minimun. Les rapports sont partagés de trois manières: flux STIX2, CSV et MISP. Des rapports sont également publiés dans le référentiel GIT du projet. |
| Domaines de messagerie jetable | Une collection de domaines de messagerie anonyme ou jetables couramment utilisés pour spam / abus. |
| Sentiers DNS | Source d'intelligence libre pour les informations actuelles et historiques du DNS, les informations WHOIS, trouver d'autres sites Web associés à certains IPS, connaissances et technologies du sous-domaine. Il existe également une IP et une API Intelligence du domaine. |
| Règles de pare-feu émergentes | Une collection de règles pour plusieurs types de pare-feu, notamment iptables, PF et PIX. |
| Règles d'identification des menaces émergentes | Une collection de fichiers SNORT et Suricata qui peuvent être utilisés pour l'alerte ou le blocage. |
| Exonérateur | Le service d'exonerateur maintient une base de données d'adresses IP qui ont fait partie du réseau TOR. Il répond à la question de savoir s'il y avait un relais Tor fonctionnant sur une adresse IP donnée à une date donnée. |
| Exploitalert | Liste des derniers exploits publiés. |
| Intercept rapide | Intercept Security héberge un certain nombre de listes de réputation IP gratuites à partir de leur réseau mondial de pot de miel. |
| Zeus Tracker | The Feodo Tracker Abuse.CH suit le Feodo Trojan. |
| Listes IP de Firehol | Plus de 400 flux IP accessibles au public analysés pour documenter leur évolution, Geo-Map, Age of IPS, Policy Retention, se chevauchent. Le site se concentre sur la cybercriminalité (attaques, abus, malware). |
| Protège-fraude | FraudGuard est un service conçu pour fournir un moyen facile de valider l'utilisation en collectant et en analysant continuellement le trafic Internet en temps réel. |
| Greynoise | Greynoise collecte et analyse les données sur l'activité de numérisation à l'échelle de Internet. Il recueille des données sur des scanners bénins tels que Shodan.io, ainsi que des acteurs malveillants comme SSH et Telnet Worms. |
| Honeydb | HoneyDB fournit des données en temps réel de l'activité du pot de miel. Ces données proviennent de pots de miel déployés sur Internet à l'aide du pot de miel miel. De plus, HoneyDB fournit un accès API à l'activité collectée de la pot de miel, qui comprend également des données agrégées à partir de divers flux Twitter de l'habitage. |
| Eau de glace | 12 805 Règles YARA gratuites créées par Project Icewater. |
| InfoSec - Cert-pa | Collection et analyse des échantillons de logiciels malveillants, service de liste de blocs, base de données des vulnérabilités et plus encore. Créé et géré par CERT-PA. |
| Laboratoires d'enquête | Un portail de données ouvert, interactif et axé sur l'API pour les chercheurs en sécurité. Recherchez un grand corpus d'échantillons de fichiers, des informations de réputation globales et des IOC extraits de sources publiques. Augmentez le développement de Yara avec des outils pour générer des déclencheurs, gérer des hexs mixtes et générer des expressions régulières compatibles Base64. |
| Listes I-Block | I-Blocklist maintient plusieurs types de listes contenant des adresses IP appartenant à diverses catégories. Certaines de ces principales catégories comprennent les pays, les FAI et les organisations. Les autres listes incluent les attaques Web, Tor, les logiciels espions et les proxies. Beaucoup sont libres à utiliser et disponibles dans divers formats. |
| Ipsum | Ipsum est un flux de renseignement sur les menaces basée sur plus de 30 listes différentes d'adresses IP suspectes et / ou malveillantes. Toutes les listes sont automatiquement récupérées et analysées sur une base quotidienne (24h) et le résultat final est poussé vers ce référentiel. La liste est composée d'adresses IP ainsi qu'un nombre total d'occurrence (noire) (pour chacun). Créé et géré par Miroslav Stampar. |
| Feeds de renseignement de James Brine Threat | Jamesbrine fournit des flux de renseignement sur les menaces quotidiennes pour les adresses IP malveillantes à partir de pots de miel situés à l'étranger sur le cloud et les infrastructures privées couvrant une variété de protocoles, notamment SSH, FTP, RDP, GIT, SNMP et Redis. Les IOC de la veille sont disponibles dans STIX2 ainsi que des CIO supplémentaires tels que les URI suspects et les domaines nouvellement enregistrés qui ont une forte problématique d'utilisation dans les campagnes de phishing. |
| Flux de données de menace Kaspersky | Mis à jour et informer en permanence de votre entreprise ou de vos clients sur les risques et les implications associés aux cybermenaces. Les données en temps réel vous aident à atténuer les menaces plus efficacement et à vous défendre contre les attaques avant même leur lancement. Les flux de données de démonstration contiennent des ensembles tronqués de CIO (jusqu'à 1%) par rapport à ceux commerciaux |
| Million majestueux | Liste blanche probable des 1 million de sites Web, tels que classés par Majestic. Les sites sont commandés par le nombre de sous-réseaux de référence. En savoir plus sur le classement peut être trouvé sur leur blog. |
| Maldatabase | La maldatabase est conçue pour aider les aliments en science des données et menacer les aliments de renseignement. Les données fournies contiennent de bonnes informations sur, entre autres champs, des domaines contactés, la liste des processus exécutés et les fichiers supprimés par chaque échantillon. Ces flux vous permettent d'améliorer vos outils de surveillance et de sécurité. Des services gratuits sont disponibles pour les chercheurs et les étudiants en sécurité. |
| Malpedia | L'objectif principal de Malpedia est de fournir une ressource pour l'identification rapide et le contexte exploitable lors de l'étude des logiciels malveillants. L'ouverture aux contributions organisées doit assurer un niveau de qualité responsable afin de favoriser des recherches significatives et reproductibles. |
| Malshare.com | Le projet Malshare est un référentiel de logiciels malveillants public qui offre aux chercheurs un accès gratuit aux échantillons. |
| Maltaire | Le projet Maltiverse est une base de données IOC importante et enrichie où il est possible de faire des requêtes complexes et des agrégations pour enquêter sur les campagnes de logiciels malveillants et ses infrastructures. Il a également un excellent service de requête en vrac IOC. |
| Malwarebazaar | MalwareBazaar est un projet d'AUBUS.CH dans le but de partager des échantillons de logiciels malveillants avec la communauté InfoSec, les fournisseurs AV et les fournisseurs de renseignements sur les menaces. |
| Liste du domaine des logiciels malveillants | Une liste consultable de domaines malveillants qui effectue également des recherches et répertorie les inscrits, axés sur les kits de phishing, de chevaux de Troie et d'exploitation. |
| Patrouille malveillante | Malware Patrol fournit des listes de blocs, des flux de données et des informations sur les entreprises de toutes tailles. Parce que notre spécialité est la cyber-menace Intelligence, toutes nos ressources consacrent à s'assurer qu'elle est de la plus haute qualité possible. Nous pensons qu'une équipe de sécurité et ses outils ne sont aussi bonnes que les données utilisées. Cela signifie que nos aliments ne sont pas remplis d'indicateurs grattés et non vérifiés. Nous apprécions la qualité par rapport à la quantité. |
| Malware-Traffic-Analysis.net | Ce blog se concentre sur le trafic réseau lié aux infections des logiciels malveillants. Contient des exercices d'analyse du trafic, des tutoriels, des échantillons de logiciels malveillants, des fichiers PCAP du trafic réseau malveillant et des articles de blog techniques avec des observations. |
| Malwaredomains.com | Le projet DNS-BH crée et maintient une liste de domaines connus pour être utilisés pour propager les logiciels malveillants et les logiciels espions. Ceux-ci peuvent être utilisés pour la détection ainsi que pour la prévention (requêtes DNS de coulée). |
| Cloud Metadefender | Metadefender Cloud Threat Intelligence Falaux contient les meilleures signatures de hachage de logiciels malveillants, y compris MD5, SHA1 et SHA256. Ces nouveaux hachages malveillants ont été repérés par Metadefender Cloud dans les dernières 24 heures. Les flux sont mis à jour quotidiennement avec des logiciels malveillants nouvellement détectés et signalés pour fournir une intelligence de menace exploitable et opportune. |
| Projet NetLab OpenData | Le projet NetLab OpenData a été présenté au public en premier à ISC '2016 le 16 août 2016. Nous fournissons actuellement plusieurs flux de données, notamment DGA, EK, Malcon, Mirai C2, Mirai-Scanner, Hajime-Scanner et Drdos Reflector. |
| Nothink! | IPS SNMP, SSH, Telnet sur liste noire de Matteo Cantoni |
| Services NormShield | Les services de NormShield fournissent des milliers d'informations sur le domaine (y compris les informations WHOIS) dont les attaques de phishing potentielles peuvent provenir. Les services de violation et de liste noire sont également disponibles. Il y a une inscription gratuite pour les services publics pour une surveillance continue. |
| Menaces novasense | Novasense est le Snapt Threat Intelligence Center et fournit des informations et des outils pour la protection préventive des menaces et l'atténuation des attaques. Novasense protège les clients de toutes tailles contre les attaquants, les abus, les botnets, les attaques DOS et plus encore. |
| Obstructions | Le lecteur RSS pour les équipes de cybersécurité. Transformez n'importe quel blog en intelligence de menace structurée et exploitable. |
| Aliments ouverts | OpenPhish reçoit des URL de plusieurs flux et les analyse en utilisant ses algorithmes de détection de phishing propriétaire. Il existe des offres gratuites et commerciales disponibles. |
| 0xsi_f33d | Service gratuit pour détecter les domaines de phishing et de logiciels malveillants possibles, IPS sur liste noire dans le cyberespace portugais. |
| Phishtan | Phishtank fournit une liste d'URL de phishing présumée. Leurs données proviennent de rapports humains, mais ils ingèrent également des aliments externes dans la mesure du possible. C'est un service gratuit, mais s'inscrire à une clé API est parfois nécessaire. |
| Pickupstix | PickupStix est une alimentation d'intelligence Cyber Threat Free, open-source et non commercialisée. Actuellement, PickupStix utilise trois flux publics et distribue environ 100 nouvelles pièces d'intelligence chaque jour. PickupStix traduit les différents flux en STIX, qui peuvent communiquer avec n'importe quel serveur de taxi. Les données sont gratuites et sont un excellent moyen de commencer à utiliser l'intelligence cyber-menace. |
| Sauver la menace des menaces Intel | [Res] Cure est un projet de renseignement sur les menaces indépendante réalisée par l'équipe FruxLabs Crack pour améliorer leur compréhension de l'architecture sous-jacente des systèmes distribués, de la nature de l'intelligence des menaces et de la manière de collecter efficacement, de stocker, de consommer et de distribuer l'intelligence des menaces. Les aliments sont générés toutes les 6 heures. |
| RST Feed Intel Menage Intel | Indicateurs agrégés de compromis collectés et traversés à partir de plusieurs sources ouvertes et soutenues par la communauté, enrichies et classées à l'aide de notre plate-forme de renseignement. |
| Rutgers IPS sur liste noire | La liste IP des attaquants SSH Brute Force est créée à partir d'une fusion d'IPS observés localement et de 2 heures IPS enregistrées sur BADIP.com et BlockList.de |
| Sans ICS Domaines suspects | Les listes de menaces de domaines suspectes par SANS ICS sont les domaines suspects. Il offre 3 listes classées comme une sensibilité élevée, moyenne ou faible, où la liste de sensibilité élevée a moins de faux positifs, tandis que la liste de faible sensibilité avec plus de faux positifs. Il existe également une liste blanche approuvée des domaines. Enfin, il y a une liste de blocs IP suggérée de Dshield. |
| SECURITYSCORECARD IOCS | Public Access IOCS à partir de messages de blogs techniques et de rapports de SecurityScoreCard. |
| Stixifier | Votre analyste automatisé des informations sur les menaces. Extraire l'intelligence lisible par la machine à partir de données non structurées. |
| base de signature | Une base de données de signatures utilisées dans d'autres outils par NEO23X0. |
| Le projet Spamhaus | Le projet Spamhaus contient de multiples listes de menaces associées à l'activité de spam et de logiciels malveillants. |
| Sophoslabs Intelix | Sophoslabs Intelix est la plate-forme de renseignement des menaces qui alimente les produits et partenaires de Sophos. Vous pouvez accéder à l'intelligence en fonction du hachage de fichiers, de l'URL, etc. ainsi que de soumettre des échantillons pour analyse. Grâce aux API REST, vous pouvez facilement et rapidement ajouter cette intelligence de menace à vos systèmes. |
| Éperon | Spur fournit des outils et des données pour détecter les VPN, les procurations résidentielles et les robots. Le plan gratuit permet aux utilisateurs de rechercher une IP et d'obtenir sa classification, un fournisseur VPN, des géolocations populaires derrière l'IP et un contexte plus utile. |
| Liste noire SSL | SSL Blacklist (SSLBL) est un projet maintenu par AUBUS.CH. L'objectif est de fournir une liste de «mauvais» certificats SSL identifiés par abus.ch pour être associés à des logiciels malveillants ou à des activités de botnet. SSLBL s'appuie sur les empreintes digitales SHA1 des certificats SSL malveillants et propose diverses listes noires |
| Statvoo Top 1 million de sites | Liste blanche probable des 1 million de sites Web les plus élevés, tels que classés par Statvoo. |
| Strongarm, par des réseaux percipitants | Strongarm est un trou noir DNS qui prend des mesures sur les indicateurs de compromis en bloquant la commande et le contrôle des logiciels malveillants. Strongarm agrège les flux d'indicateurs gratuits, s'intègre aux flux commerciaux, utilise les flux IOC du Percipient et exploite des résolveurs et des API DNS à utiliser pour protéger votre réseau et votre entreprise. Strongarm est gratuit pour un usage personnel. |
| Règles SIEM | Votre base de données d'ingénierie de détection. Afficher, modifier et déployer les règles SIEM pour la chasse aux menaces et la détection. |
| Talos | Cisco Talos Intelligence Group est l'une des plus grandes équipes de renseignement des menaces commerciales au monde, composées de chercheurs, d'analystes et d'ingénieurs de classe mondiale. Ces équipes sont soutenues par une télémétrie inégalée et des systèmes sophistiqués pour créer une intelligence de menace précise, rapide et exploitable pour les clients, produits et services de Cisco. Talos défend les clients de Cisco contre les menaces connues et émergentes, découvre de nouvelles vulnérabilités dans les logiciels communs et interdit les menaces à l'état sauvage avant de pouvoir nuire à Internet dans son ensemble. Talos maintient les ensembles de règles officiels de Snort.org, Clamav et Spamcop, en plus de publier de nombreux outils de recherche et d'analyse open source. Talos fournit une interface utilisateur Web facile à utiliser pour vérifier la réputation d'un observable. |
| menacefeeds.io | ThreatFeeds.io répertorie les flux et les sources de renseignement sur les menaces gratuites et open-open et open et fournit des liens de téléchargement direct et des résumés en direct. |
| menacefox.abuse.ch | ThreatFox est une plate-forme gratuite de Abuse.ch dans le but de partager des indicateurs de compromis (CIO) associés aux logiciels malveillants à la communauté Infosec, aux fournisseurs AV et aux fournisseurs de renseignements sur les menaces. |
| Blogs et rapports techniques, par ThreatConnect | Cette source est remplie du contenu de plus de 90 blogs de sécurité open source. Les IOC (indicateurs de compromis) sont analysés hors de chaque blog et le contenu du blog est formaté dans Markdown. |
| Brouilleur | Le Jammer du menace est un service API REST qui permet aux développeurs, aux ingénieurs de sécurité et à d'autres professionnels de l'informatique d'accéder aux données de renseignement sur les menaces de haute qualité provenant de diverses sources et de l'intégrer dans leurs applications dans le seul but de détecter et de bloquer l'activité malveillante. |
| Menaceur | ThreatMiner a été créée pour libérer des analystes de la collecte de données et pour leur fournir un portail sur lequel ils peuvent effectuer leurs tâches, des rapports de lecture au pivot et à l'enrichissement des données. L'accent mis par ThreatMiner ne concerne pas seulement les indicateurs de compromis (CIO) mais aussi pour fournir aux analystes des informations contextuelles liées au CIO qu'ils envisagent. |
| Adresses e-mail des logiciels malveillants WSTNPHX | Adresses e-mail utilisées par les logiciels malveillants collectés par Vvestron Phoronix (WSTNPHX) |
| Sous-attaque.Today | Sous-attaque est une plate-forme d'intelligence gratuite, il partage les IP et les informations sur les événements et les attaques suspects. L'inscription est gratuite. |
| Urlhaus | Urlhaus est un projet de Abuse.ch dans le but de partager des URL malveillantes qui sont utilisées pour la distribution de logiciels malveillants. |
| Virushare | Virusshare.com est un référentiel d'échantillons de logiciels malveillants pour fournir des chercheurs en sécurité, des intervenants incidents, des analystes médico-légaux et un accès morbide curieux aux échantillons de code malveillant. L'accès au site est accordé uniquement par invitation. |
| Rules de Yara | Un référentiel open source avec différentes signatures YARA qui sont compilées, classées et maintenues aussi à jour que possible. |
| 1er flux de menaces à double pile par mrloolier | MRLOOQUER a créé le premier flux de menaces axé sur les systèmes avec double pile. Étant donné que le protocole IPv6 a commencé à faire partie des logiciels malveillants et des communications de fraude, il est nécessaire de détecter et d'atténuer les menaces dans les deux protocoles (IPv4 et IPv6). |
Formats standardisés pour partager l'intelligence des menaces (principalement des CIO).
| Capec | L'énumération et la classification des modèles d'attaque courantes (CAPEC) est une taxonomie complète de dictionnaire et de classification des attaques connues qui peuvent être utilisées par les analystes, les développeurs, les testeurs et les éducateurs pour faire progresser la compréhension communautaire et améliorer les défenses. |
| Cybox | Le langage d'expression cyber observable (Cybox) fournit une structure commune pour représenter les cyber observables dans et entre les domaines opérationnels de la cybersécurité d'entreprise qui améliore la cohérence, l'efficacité et l'interopérabilité des outils et processus déployés, ainsi que la sensibilisation globale en permanenant le potentiel de partage d'automatisation détaillé, de cartographie, de détection et d'analyse heuristique. |
| Iodef (RFC5070) | Le format d'échange de description de l'objet incident (IODEF) définit une représentation de données qui fournit un cadre de partage d'informations couramment échangées par les équipes de réponse aux incidents de sécurité informatique (CSIRT) sur les incidents de sécurité informatique. |
| IDMEF (RFC4765) | Expérimental - Le but du format d'échange de messages de détection d'intrusion (IDMEF) est de définir les formats de données et les procédures d'échange pour le partage des informations d'intérêt pour la détection et les systèmes de réponse des intrusions et les systèmes de gestion qui peuvent avoir besoin d'interagir avec eux. |
| Maec | Les projets de dénombrement et de caractérisation des attributs malveillants (MAEC) visent à créer et à fournir un langage standardisé pour partager des informations structurées sur les logiciels malveillants basés sur des attributs tels que les comportements, les artefacts et les modèles d'attaque. |
| Openc2 | Comité technique de l'OASIS Open Command and Control (OpenC2). L'OpenC2 TC fondera ses efforts sur les artefacts générés par le forum OpenC2. Avant la création de ce TC et des spécifications, le forum OpenC2 était une communauté de parties prenantes de cybersécurité qui a été facilitée par l'Agence nationale de sécurité (NSA). L'OpenC2 TC a été affrété pour rédiger des documents, des spécifications, des lexiques ou d'autres artefacts pour répondre aux besoins du commandement et du contrôle de la cybersécurité de manière standardisée. |
| Stix 2.0 | Le langage d'expression des informations sur la menace structurée (STIX) est une construction standardisée pour représenter les informations sur la cyber-menace. Le langage STIX a l'intention de transmettre la gamme complète des informations potentielles de cyber-menace et s'efforce d'être pleinement expressive, flexible, extensible et automatisable. STIX n'autorise pas seulement les champs agnostiques de l'outil, mais fournit également des mécanismes dits de test qui fournissent des moyens d'incorporer des éléments spécifiques à l'outil, notamment OpenIOC, YARA et SNORT. Stix 1.x a été archivé ici. |
| Taxi | L'échange automatisé de fiducie des informations sur les indicateurs (TAXII) définit un ensemble d'échanges de services et de messages qui, lorsqu'ils sont mis en œuvre, permettent le partage d'informations de cyber-menace exploitables entre les limites de l'organisation et des produits / services. Les taxi définissent les concepts, les protocoles et les échanges de messages pour échanger des informations sur la cyber-menace pour la détection, la prévention et l'atténuation des cyber-menaces. |
| Veris | Le vocabulaire de l'enregistrement d'événements et du partage d'incident (Veris) est un ensemble de mesures conçues pour fournir un langage commun pour décrire les incidents de sécurité de manière structurée et reproductible. Veris est une réponse à l'un des défis les plus critiques et les plus persistants de l'industrie de la sécurité - un manque d'informations de qualité. En plus de fournir un format structuré, Veris collecte également les données de la communauté pour faire rapport sur les violations du rapport Verizon Data Breach Investigations (DBIR) et publie cette base de données en ligne dans un github Repository.org. |
Cadres, plates-formes et services pour la collecte, l'analyse, la création et le partage de l'intelligence des menaces.
| Abushelper | AbuselHelper est un cadre open source pour recevoir et redistribuer les aliments pour abus et menacer les informations. |
| Abus | Une boîte à outils pour recevoir, traiter, corréler et informer les utilisateurs finaux des rapports d'abus, consommant ainsi les flux de renseignement sur les menaces. |
| AIS | La capacité de partage des indicateurs automatisé (AIS) de la Cybersecurity and Infrastructure Security Agency (CISA) permet d'échanger des indicateurs de cyber-menaces entre le gouvernement fédéral et le secteur privé à la vitesse de la machine. Les indicateurs de menace sont des informations comme les adresses IP malveillantes ou l'adresse de l'expéditeur d'un e-mail de phishing (bien qu'ils puissent également être beaucoup plus compliqués). |
| Venger barbu | Le moyen le plus rapide de consommer des renseignements sur les menaces. Successeur de CIF. |
| BLUELLIV MENEAF Exchange Network | Permet aux participants de partager des indicateurs de menace avec la communauté. |
| Cortex | Cortex permet aux observables, tels que les IPS, les adresses e-mail, les URL, les noms de domaine, les fichiers ou les hachages, à analyser un par un ou en mode en vrac à l'aide d'une seule interface Web. L'interface Web agit comme un frontage pour de nombreux analyseurs, supprimant la nécessité de les intégrer vous-même pendant l'analyse. Les analystes peuvent également utiliser l'API Cortex REST pour automatiser certaines parties de leur analyse. |
| Critères | Crits est une plate-forme qui fournit aux analystes les moyens de mener des recherches collaboratives sur les logiciels malveillants et les menaces. Il se branche sur un référentiel de données d'intelligence centralisé, mais peut également être utilisé comme instance privée. |
| Cif | Le Framework de renseignement collectif (CIF) vous permet de combiner des informations connues de menaces malveillantes de nombreuses sources et d'utiliser ces informations pour l'IR, la détection et l'atténuation. Code disponible sur github. |
| Ctix | CTIX est une plate-forme intelligente de renseignement sur les menaces client-serveur (TIP) pour l'ingestion, l'enrichissement, l'analyse et le partage bidirectionnel des données de menace au sein de votre réseau de confiance. |
| Plate-forme Eclecticiq | La plate-forme EclectiCIQ est une plate-forme de renseignement sur les menaces Stix / Taxii (TIP) qui permet aux analystes des menaces d'effectuer des investigations plus rapides, meilleures et plus profondes tout en diffusant l'intelligence à la vitesse de la machine. |
| Intelmq | Intelmq est une solution pour les certificats pour la collecte et le traitement des flux de sécurité, les cols, les tweets à l'aide d'un protocole de file d'attente de messages. Il s'agit d'une initiative axée sur la communauté appelée IHAP (Projet d'automatisation des incidents) qui a été conçue conceptuellement par des certificats européens lors de plusieurs événements Infosec. Son objectif principal est de donner aux intervenants incidents un moyen facile de collecter et de traiter l'intelligence des menaces améliorant ainsi les processus de traitement des incidents des certificats. |
| Itewowl | Intel Owl est une solution OSINT pour obtenir des données de renseignement sur les menaces sur un fichier spécifique, une IP ou un domaine à partir d'une seule API à grande échelle. Intel Owl est composé d'analyseurs qui peuvent être exécutés pour récupérer des données à partir de sources externes (comme Virustotal ou AbusepDB) ou pour générer des Intel à partir d'analyseurs internes (comme Yara ou Oletools). Il peut être intégré facilement dans votre pile d'outils de sécurité (PyinteLowl) pour automatiser les travaux communs habituellement effectués, par exemple, par les analystes SOC manuellement. |
| Portail de renseignement Kaspersky Threat | Un site Web qui fournit une base de connaissances décrivant les cybermenaces, les objets légitimes et leurs relations, réunis dans un seul service Web. L'abonnement au portail de renseignement sur les menaces de Kaspersky Lab vous fournit un point d'entrée unique à quatre services complémentaires: les flux de données de Kaspersky Threat, les rapports de renseignement sur les menaces, la recherche de menace Kaspersky et le bac à sable de recherche Kaspersky, tous disponibles dans des formats lisibles par l'homme et lisibles par machine. |
| Calstrom | Malstrom vise à être un référentiel pour le suivi des menaces et les artefacts médico-légaux, mais stocke également les règles et les notes de Yara pour enquête. Remarque: le projet GitHub a été archivé (aucune nouvelle contribution acceptée). |
| Manati | Le projet Manati aide l'analyste des menaces en utilisant des techniques d'apprentissage automatique qui trouvent automatiquement de nouvelles relations et inférences. |
| MANTE | L'analyse basée sur des modèles des sources de renseignements sur les menaces (MANTIS) Le cadre de gestion de l'intelligence cyber-menace soutient la gestion de l'intelligence cyber-menace exprimée dans diverses langues standard, comme Stix et Cybox. Il n'est * pas * prêt pour la production à grande échelle. |
| Mégatron | Megatron est un outil mis en œuvre par CERT-SE qui collecte et analyse les mauvais IP, peut être utilisé pour calculer les statistiques, convertir et analyser les fichiers journaux et dans les abus et la manipulation des incidents. |
| Minemeld | Un cadre de traitement des renseignements sur les menaces extensible a créé des réseaux Palo Alto. Il peut être utilisé pour manipuler des listes d'indicateurs et les transformer et / ou les agréger pour la consommation par infrastructure d'application des tiers. |
| Misp | La plate-forme de partage d'informations malveillantes (MISP) est une solution logicielle open source pour collecter, stocker, distribuer et partager des indicateurs de cybersécurité et une analyse des logiciels malveillants. |
| n6 | N6 (Network Security Incident Exchange) est un système pour collecter, gérer et distribuer des informations de sécurité à grande échelle. La distribution est réalisée via une simple API REST et une interface Web que les utilisateurs autorisés peuvent utiliser pour recevoir différents types de données, en particulier des informations sur les menaces et les incidents dans leurs réseaux. Il est développé par cert Polska. |
| Opencti | OpenCti, la plate-forme ouverte de la cyber-menace, permet aux organisations de gérer leurs connaissances et observables de leur intelligence cyber-menace. Son objectif est de structurer, de stocker, d'organiser et de visualiser des informations techniques et non techniques sur les cyber-menaces. Les données sont structurées autour d'un schéma de connaissances basé sur les normes STIX2. OpenCti peut être intégré à d'autres outils et plateformes, notamment MISP, TheHive et Mitre Att & CK, AO |
| Openioc | OpenIOC est un cadre ouvert pour partager les renseignements sur les menaces. Il est conçu pour échanger des informations sur les menaces à la fois en interne et en externe dans un format de digestion machine. |
| Opentaxii | OpenTaxii est une implémentation Python robuste des services de taxi qui fournit un ensemble de fonctionnalités riches et une API pythonique conviviale construite au-dessus d'une application bien conçue. |
| Austrica | Un cadre orienté sur les plugins open source pour collecter et visualiser les informations de renseignement sur les menaces. |
| OTX - Échange de menaces ouvertes | Alienvault Open Threat Exchange (OTX) fournit un accès ouvert à une communauté mondiale de chercheurs et de professionnels de la sécurité. Il fournit des données sur les menaces générées par la communauté, permet une recherche en collaboration et automatise le processus de mise à jour de votre infrastructure de sécurité avec les données de menace de toute source. |
| Échange de partenaires de menace ouverte | L'échange de partenaires de menace ouverte (OpenTPX) se compose d'un format open source et d'outils pour l'échange de données sur les opérations de renseignement sur les menaces et de sécurité du réseau lisibles par machine. Il s'agit d'un format basé sur JSON qui permet le partage de données entre les systèmes connectés. |
| Passivétotal | La plate-forme passivétotale offerte par RiskIQ est une plate-forme d'analyse de menace qui fournit aux analystes autant de données que possible afin d'éviter les attaques avant qu'elles ne se produisent. Plusieurs types de solutions sont proposés, ainsi que des intégrations (API) avec d'autres systèmes. |
| Pulsé | Pulsedive est une plate-forme d'intelligence des menaces communautaires gratuite qui consomme des flux open source, enrichissant les CIO et en les exécutant via un algorithme de score des risques pour améliorer la qualité des données. Il permet aux utilisateurs de soumettre, rechercher, corréler et mettre à jour les IOC; répertorie les «facteurs de risque» pour expliquer pourquoi les CIO sont un risque plus élevé; and provides a high level view of threats and threat activity. |
| Avenir enregistré | Recorded Future is a premium SaaS product that automatically unifies threat intelligence from open, closed, and technical sources into a single solution. Their technology uses natural language processing (NLP) and machine learning to deliver that threat intelligence in real time — making Recorded Future a popular choice for IT security teams. |
| Scumblr | Scumblr is a web application that allows performing periodic syncs of data sources (such as Github repositories and URLs) and performing analysis (such as static analysis, dynamic checks, and metadata collection) on the identified results. Scumblr helps you streamline proactive security through an intelligent automation framework to help you identify, track, and resolve security issues faster. |
| STAXX (Anomali) | Anomali STAXX™ gives you a free, easy way to subscribe to any STIX/TAXII feed. Simply download the STAXX client, configure your data sources, and STAXX will handle the rest. |
| stoQ | stoQ is a framework that allows cyber analysts to organize and automate repetitive, data-driven tasks. It features plugins for many other systems to interact with. One use case is the extraction of IOCs from documents, an example of which is shown here, but it can also be used for deobfuscationg and decoding of content and automated scanning with YARA, for example. |
| TARDIS | The Threat Analysis, Reconnaissance, and Data Intelligence System (TARDIS) is an open source framework for performing historical searches using attack signatures. |
| Menaceconnect | ThreatConnect is a platform with threat intelligence, analytics, and orchestration capabilities. It is designed to help you collect data, produce intelligence, share it with others, and take action on it. |
| ThreatCrowd | ThreatCrowd is a system for finding and researching artefacts relating to cyber threats. |
| ThreatPipes | Stay two steps ahead of your adversaries. Get a complete picture of how they will exploit you. ThreatPipes is a reconnaissance tool that automatically queries 100's of data sources to gather intelligence on IP addresses, domain names, e-mail addresses, names and more. You simply specify the target you want to investigate, pick which modules to enable and then ThreatPipes will collect data to build up an understanding of all the entities and how they relate to each other. |
| ThreatExchange | Facebook created ThreatExchange so that participating organizations can share threat data using a convenient, structured, and easy-to-use API that provides privacy controls to enable sharing with only desired groups. This project is still in beta . Reference code can be found at GitHub. |
| TypeDB CTI | TypeDB Data - CTI is an open source threat intelligence platform for organisations to store and manage their cyber threat intelligence (CTI) knowledge. It enables threat intel professionals to bring together their disparate CTI information into one database and find new insights about cyber threats. This repository provides a schema that is based on STIX2, and contains MITRE ATT&CK as an example dataset to start exploring this threat intelligence platform. More in this blog post. |
| VirusBay | VirusBay is a web-based, collaboration platform that connects security operations center (SOC) professionals with relevant malware researchers. |
| threatnote.io | The new and improved threatnote.io - A tool for CTI analysts and teams to manage intel requirements, reporting, and CTI processes in an all-in-one platform |
| XFE - X-Force Exchange | The X-Force Exchange (XFE) by IBM XFE is a free SaaS product that you can use to search for threat intelligence information, collect your findings, and share your insights with other members of the XFE community. |
| Yeti | The open, distributed, machine and analyst-friendly threat intelligence repository. Made by and for incident responders. |
All kinds of tools for parsing, creating and editing Threat Intelligence. Mostly IOC based.
| ActorTrackr | ActorTrackr is an open source web application for storing/searching/linking actor related data. The primary sources are from users and various public repositories. Source available on GitHub. |
| AIEngine | AIEngine is a next generation interactive/programmable Python/Ruby/Java/Lua packet inspection engine with capabilities of learning without any human intervention, NIDS(Network Intrusion Detection System) functionality, DNS domain classification, network collector, network forensics and many others. |
| AIOCRIOC | Artificial Intelligence Ocular Character Recognition Indicator of Compromise (AIOCRIOC) is a tool that combines web scraping, the OCR capabilities of Tesseract and OpenAI compatible LLM API's such as GPT-4 to parse and extract IOCs from reports and other web content including embedded images with contextual data. |
| Analyze (Intezer) | Analyze is an all-in-one malware analysis platform that is able to perform static, dynamic, and genetic code analysis on all types of files. Users can track malware families, extract IOCs/MITRE TTPs, and download YARA signatures. There is a community edition to get started for free. |
| Automater | Automater is a URL/Domain, IP Address, and Md5 Hash OSINT tool aimed at making the analysis process easier for intrusion Analysts. |
| BlueBox | BlueBox is an OSINT solution to get threat intelligence data about a specific file, an IP, a domain or URL and analyze them. |
| BotScout | BotScout helps prevent automated web scripts, known as "bots", from registering on forums, polluting databases, spreading spam, and abusing forms on web sites. |
| bro-intel-generator | Script for generating Bro intel files from pdf or html reports. |
| chauffeur | A simple Python library for interacting with TAXII servers. |
| cacador | Cacador is a tool written in Go for extracting common indicators of compromise from a block of text. |
| Combiner | Combine gathers Threat Intelligence Feeds from publicly available sources. |
| CrowdFMS | CrowdFMS is a framework for automating collection and processing of samples from VirusTotal, by leveraging the Private API system. The framework automatically downloads recent samples, which triggered an alert on the users YARA notification feed. |
| CyberGordon | CyberGordon is a threat intelligence search engine. It leverages 30+ sources. |
| CyBot | CyBot is a threat intelligence chat bot. It can perform several types of lookups offered by custom modules. |
| Cuckoo Sandbox | Cuckoo Sandbox is an automated dynamic malware analysis system. It's the most well-known open source malware analysis sandbox around and is frequently deployed by researchers, CERT/SOC teams, and threat intelligence teams all around the globe. For many organizations Cuckoo Sandbox provides a first insight into potential malware samples. |
| Fenrir | Simple Bash IOC Scanner. |
| FireHOL IP Aggregator | Application for keeping feeds from FireHOL blocklist-ipsets with IP addresses appearance history. HTTP-based API service is developed for search requests. |
| Forager | Multithreaded threat intelligence hunter-gatherer script. |
| Gigasheet | Gigasheet is a SaaS product used to analyze massive, and disparate cybersecurity data sets. Import massive log files, netflow, pcaps, big CSVs and more. |
| GoatRider | GoatRider is a simple tool that will dynamically pull down Artillery Threat Intelligence Feeds, TOR, AlienVaults OTX, and the Alexa top 1 million websites and do a comparison to a hostname file or IP file. |
| Google APT Search Engine | APT Groups, Operations and Malware Search Engine. The sources used for this Google Custom Search are listed on this GitHub gist. |
| GOSINT | The GOSINT framework is a free project used for collecting, processing, and exporting high quality public indicators of compromise (IOCs). |
| hashdd | A tool to lookup related information from crytographic hash value |
| Harbinger Threat Intelligence | Python script that allows to query multiple online threat aggregators from a single interface. |
| Hippocampe | Hippocampe aggregates threat feeds from the Internet in an Elasticsearch cluster. It has a REST API which allows to search into its 'memory'. It is based on a Python script which fetchs URLs corresponding to feeds, parses and indexes them. |
| Hiryu | A tool to organize APT campaign information and to visualize relations between IOCs. |
| IOC Editor | A free editor for Indicators of Compromise (IOCs). |
| IOC Finder | Python library for finding indicators of compromise in text. Uses grammars rather than regexes for improved comprehensibility. As of February, 2019, it parses over 18 indicator types. |
| IOC Fanger (and Defanger) | Python library for fanging (`hXXp://example[.]com` => `http://example.com`) and defanging (`http://example.com` => `hXXp://example[.]com`) indicators of compromise in text. |
| ioc_parser | Tool to extract indicators of compromise from security reports in PDF format. |
| ioc_writer | Provides a Python library that allows for basic creation and editing of OpenIOC objects. |
| iocextract | Extracts URLs, IP addresses, MD5/SHA hashes, email addresses, and YARA rules from text corpora. Includes some encoded and “defanged” IOCs in the output, and optionally decodes/refangs them. |
| IOCextractor | IOC (Indicator of Compromise) Extractor is a program to help extract IOCs from text files. The general goal is to speed up the process of parsing structured data (IOCs) from unstructured or semi-structured data |
| ibmxforceex.checker.py | Python client for the IBM X-Force Exchange. |
| jager | Jager is a tool for pulling useful IOCs (indicators of compromise) out of various input sources (PDFs for now, plain text really soon, webpages eventually) and putting them into an easy to manipulate JSON format. |
| Kaspersky CyberTrace | Threat intelligence fusion and analysis tool that integrates threat data feeds with SIEM solutions. Users can immediately leverage threat intelligence for security monitoring and incident report (IR) activities in the workflow of their existing security operations. |
| KLara | KLara, a distributed system written in Python, allows researchers to scan one or more Yara rules over collections with samples, getting notifications by e-mail as well as the web interface when scan results are ready. |
| libtaxii | A Python library for handling TAXII Messages invoking TAXII Services. |
| Loki | Simple IOC and Incident Response Scanner. |
| Chercher | LookUp is a centralized page to get various threat information about an IP address. It can be integrated easily into context menus of tools like SIEMs and other investigative tools. |
| Machinae | Machinae is a tool for collecting intelligence from public sites/feeds about various security-related pieces of data: IP addresses, domain names, URLs, email addresses, file hashes and SSL fingerprints. |
| MalPipe | Amodular malware (and indicator) collection and processing framework. It is designed to pull malware, domains, URLs and IP addresses from multiple feeds, enrich the collected data and export the results. |
| MISP Workbench | Tools to export data out of the MISP MySQL database and use and abuse them outside of this platform. |
| MISP-Taxii-Server | A set of configuration files to use with EclecticIQ's OpenTAXII implementation, along with a callback for when data is sent to the TAXII Server's inbox. |
| MSTIC Jupyter and Python Security Tools | msticpy is a library for InfoSec investigation and hunting in Jupyter Notebooks. |
| nyx | The goal of this project is to facilitate distribution of Threat Intelligence artifacts to defensive systems and to enhance the value derived from both open source and commercial tools. |
| OneMillion | Python library to determine if a domain is in the Alexa or Cisco top, one million domain lists. |
| openioc-to-stix | Generate STIX XML from OpenIOC XML. |
| Omnibus | Omnibus is an interactive command line application for collecting and managing IOCs/artifacts (IPs, Domains, Email Addresses, Usernames, and Bitcoin Addresses), enriching these artifacts with OSINT data from public sources, and providing the means to store and access these artifacts in a simple way. |
| OSTIP | A homebrew threat data platform. |
| poortego | Open-source project to handle the storage and linking of open-source intelligence (ala Maltego, but free as in beer and not tied to a specific / proprietary database). Originally developed in ruby, but new codebase completely rewritten in python. |
| PyIOCe | PyIOCe is an IOC editor written in Python. |
| QRadio | QRadio is a tool/framework designed to consolidate cyber threats intelligence sources. The goal of the project is to establish a robust modular framework for extraction of intelligence data from vetted sources. |
| rastrea2r | Collecting & Hunting for Indicators of Compromise (IOC) with gusto and style! |
| Redline | A host investigations tool that can be used for, amongst others, IOC analysis. |
| RITA | Real Intelligence Threat Analytics (RITA) is intended to help in the search for indicators of compromise in enterprise networks of varying size. |
| Softrace | Lightweight National Software Reference Library RDS storage. |
| sqhunter | Threat hunter based on osquery, Salt Open and Cymon API. It can query open network sockets and check them against threat intelligence sources |
| SRA TAXII2 Server | Full TAXII 2.0 specification server implemented in Node JS with MongoDB backend. |
| Stixvalidator.com | Stixvalidator.com is an online free STIX and STIX2 validator service. |
| Stixview | Stixview is a JS library for embeddable interactive STIX2 graphs. |
| stix-viz | STIX Visualization Tool. |
| TAXII Test Server | Allows you to test your TAXII environment by connecting to the provided services and performing the different functions as written in the TAXII specifications. |
| threataggregator | ThreatAggregrator aggregates security threats from a number of online sources, and outputs to various formats, including CEF, Snort and IPTables rules. |
| threatcrowd_api | Python Library for ThreatCrowd's API. |
| threatcmd | Cli interface to ThreatCrowd. |
| Threatelligence | Threatelligence is a simple cyber threat intelligence feed collector, using Elasticsearch, Kibana and Python to automatically collect intelligence from custom or public sources. Automatically updates feeds and tries to further enhance data for dashboards. Projects seem to be no longer maintained, however. |
| ThreatIngestor | Flexible, configuration-driven, extensible framework for consuming threat intelligence. ThreatIngestor can watch Twitter, RSS feeds, and other sources, extract meaningful information like C2 IPs/domains and YARA signatures, and send that information to other systems for analysis. |
| ThreatPinch Lookup | An extension for Chrome that creates hover popups on every page for IPv4, MD5, SHA2, and CVEs. It can be used for lookups during threat investigations. |
| ThreatTracker | A Python script designed to monitor and generate alerts on given sets of IOCs indexed by a set of Google Custom Search Engines. |
| threat_intel | Several APIs for Threat Intelligence integrated in a single package. Included are: OpenDNS Investigate, VirusTotal and ShadowServer. |
| Threat-Intelligence-Hunter | TIH is an intelligence tool that helps you in searching for IOCs across multiple openly available security feeds and some well known APIs. The idea behind the tool is to facilitate searching and storing of frequently added IOCs for creating your own local database of indicators. |
| tiq-test | The Threat Intelligence Quotient (TIQ) Test tool provides visualization and statistical analysis of TI feeds. |
| YETI | YETI is a proof-of-concept implementation of TAXII that supports the Inbox, Poll and Discovery services defined by the TAXII Services Specification. |
All kinds of reading material about Threat Intelligence. Includes (scientific) research and whitepapers.
| APT & Cyber Criminal Campaign Collection | Extensive collection of (historic) campaigns. Entries come from various sources. |
| APTnotes | A great collection of sources regarding Advanced Persistent Threats (APTs). These reports usually include strategic and tactical knowledge or advice. |
| ATT&CK | Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) is a model and framework for describing the actions an adversary may take while operating within an enterprise network. ATT&CK is a constantly growing common reference for post-access techniques that brings greater awareness of what actions may be seen during a network intrusion. MITRE is actively working on integrating with related construct, such as CAPEC, STIX and MAEC. |
| Building Threat Hunting Strategies with the Diamond Model | Blogpost by Sergio Caltagirone on how to develop intelligent threat hunting strategies by using the Diamond Model. |
| Cyber Analytics Repository by MITRE | The Cyber Analytics Repository (CAR) is a knowledge base of analytics developed by MITRE based on the Adversary Tactics, Techniques, and Common Knowledge (ATT&CK™) threat model. |
| Cyber Threat Intelligence Capability Maturity Model (CTI-CMM) | A new Cyber Threat Intelligence Capability Maturity Model (CTI-CMM) using a stakeholder-first approach and aligned with the Cybersecurity Capability Maturity Model (C2M2) to empower your team and create lasting value. |
| Cyber Threat Intelligence Repository by MITRE | The Cyber Threat Intelligence Repository of ATT&CK and CAPEC catalogs expressed in STIX 2.0 JSON. |
| Cyber Threat Intelligence: A Product Without a Process? | A research paper describing how current cyber threat intelligence products fall short and how they can be improved by introducing and evaluating sound methodologies and processes. |
| Definitive Guide to Cyber Threat Intelligence | Describes the elements of cyber threat intelligence and discusses how it is collected, analyzed, and used by a variety of human and technology consumers. Further examines how intelligence can improve cybersecurity at tactical, operational, and strategic levels, and how it can help you stop attacks sooner, improve your defenses, and talk more productively about cybersecurity issues with executive management in typical for Dummies style. |
| The Detection Maturity Level (DML) | The DML model is a capability maturity model for referencing ones maturity in detecting cyber attacks. It's designed for organizations who perform intel-driven detection and response and who put an emphasis on having a mature detection program. The maturity of an organization is not measured by it's ability to merely obtain relevant intelligence, but rather it's capacity to apply that intelligence effectively to detection and response functions. |
| The Diamond Model of Intrusion Analysis | This paper presents the Diamond Model, a cognitive framework and analytic instrument to support and improve intrusion analysis. Supporting increased measurability, testability and repeatability in intrusion analysis in order to attain higher effectivity, efficiency and accuracy in defeating adversaries is one of its main contributions. |
| The Targeting Process: D3A and F3EAD | F3EAD is a military methodology for combining operations and intelligence. |
| Guide to Cyber Threat Information Sharing by NIST | The Guide to Cyber Threat Information Sharing (NIST Special Publication 800-150) assists organizations in establishing computer security incident response capabilities that leverage the collective knowledge, experience, and abilities of their partners by actively sharing threat intelligence and ongoing coordination. The guide provides guidelines for coordinated incident handling, including producing and consuming data, participating in information sharing communities, and protecting incident-related data. |
| Intelligence Preparation of the Battlefield/Battlespace | This publication discusses intelligence preparation of the battlespace (IPB) as a critical component of the military decision making and planning process and how IPB supports decision making, as well as integrating processes and continuing activities. |
| Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains | The intrusion kill chain as presented in this paper provides one with a structured approach to intrusion analysis, indicator extraction and performing defensive actions. |
| ISAO Standards Organization | The ISAO Standards Organization is a non-governmental organization established on October 1, 2015. Its mission is to improve the Nation's cybersecurity posture by identifying standards and guidelines for robust and effective information sharing related to cybersecurity risks, incidents, and best practices. |
| Joint Publication 2-0: Joint Intelligence | This publication by the US army forms the core of joint intelligence doctrine and lays the foundation to fully integrate operations, plans and intelligence into a cohesive team. The concepts presented are applicable to (Cyber) Threat Intelligence too. |
| Microsoft Research Paper | A framework for cybersecurity information sharing and risk reduction. A high level overview paper by Microsoft. |
| MISP Core Format (draft) | This document describes the MISP core format used to exchange indicators and threat information between MISP (Malware Information and threat Sharing Platform) instances. |
| NECOMA Project | The Nippon-European Cyberdefense-Oriented Multilayer threat Analysis (NECOMA) research project is aimed at improving threat data collection and analysis to develop and demonstratie new cyberdefense mechanisms. As part of the project several publications and software projects have been published. |
| Pyramid of Pain | The Pyramid of Pain is a graphical way to express the difficulty of obtaining different levels of indicators and the amount of resources adversaries have to expend when obtained by defenders. |
| Structured Analytic Techniques For Intelligence Analysis | This book contains methods that represent the most current best practices in intelligence, law enforcement, homeland security, and business analysis. |
| Threat Intelligence: Collecting, Analysing, Evaluating | This report by MWR InfoSecurity clearly describes several different types of threat intelligence, including strategic, tactical and operational variations. It also discusses the processes of requirements elicitation, collection, analysis, production and evaluation of threat intelligence. Also included are some quick wins and a maturity model for each of the types of threat intelligence defined by MWR InfoSecurity. |
| Threat Intelligence Sharing Platforms: An Exploratory Study of Software Vendors and Research Perspectives | A systematic study of 22 Threat Intelligence Sharing Platforms (TISP) surfacing eight key findings about the current state of threat intelligence usage, its definition and TISPs. |
| Traffic Light Protocol | The Traffic Light Protocol (TLP) is a set of designations used to ensure that sensitive information is shared with the correct audience. It employs four colors to indicate different degrees of sensitivity and the corresponding sharing considerations to be applied by the recipient(s). |
| Unit42 Playbook Viewer | The goal of the Playbook is to organize the tools, techniques, and procedures that an adversary uses into a structured format, which can be shared with others, and built upon. The frameworks used to structure and share the adversary playbooks are MITRE's ATT&CK Framework and STIX 2.0 |
| Who's Using Cyberthreat Intelligence and How? | A whitepaper by the SANS Institute describing the usage of Threat Intelligence including a survey that was performed. |
| WOMBAT Project | The WOMBAT project aims at providing new means to understand the existing and emerging threats that are targeting the Internet economy and the net citizens. To reach this goal, the proposal includes three key workpackages: (i) real time gathering of a diverse set of security related raw data, (ii) enrichment of this input by means of various analysis techniques, and (iii) root cause identification and understanding of the phenomena under scrutiny. |
Licensed under Apache License 2.0.
