Unduhan awesome threat intelligence - Unduh Kode Sumber awesome threat intelligence

Ancaman yang luar biasa

Daftar sumber daya intelijen ancaman yang luar biasa

Definisi intelijen ancaman yang ringkas: pengetahuan berbasis bukti, termasuk konteks, mekanisme, indikator, implikasi dan saran yang dapat ditindaklanjuti, tentang ancaman atau bahaya yang ada atau yang muncul pada aset yang dapat digunakan untuk menginformasikan keputusan mengenai respons subjek terhadap mengancam atau bahaya tersebut .

Jangan ragu untuk berkontribusi.

Sumber
Format
Kerangka kerja & platform
Peralatan
Penelitian, Standar & Buku

Sumber

Sebagian besar sumber daya yang tercantum di bawah ini menyediakan daftar dan/atau API untuk memperoleh (semoga) informasi terkini sehubungan dengan ancaman. Namun beberapa orang menganggap sumber -sumber ini sebagai ancaman intelijen, pendapat berbeda. Sejumlah analisis (domain- atau bisnis khusus) diperlukan untuk menciptakan intelijen ancaman sejati.

Penyalahgunaan	AbusePDB adalah proyek yang didedikasikan untuk membantu memerangi penyebaran peretas, spammer, dan aktivitas kasar di internet. Misi ini adalah untuk membantu membuat web lebih aman dengan menyediakan daftar hitam pusat untuk webmaster, administrator sistem, dan pihak lain yang berkepentingan untuk melaporkan dan menemukan alamat IP yang telah dikaitkan dengan aktivitas berbahaya secara online ..
Alexa 1 juta situs teratas	1 juta situs teratas dari Amazon (Alexa). Jangan pernah menggunakan ini sebagai daftar putih.
Grup dan operasi yang tepat	Spreadsheet yang berisi informasi dan kecerdasan tentang kelompok, operasi, dan taktik APT.
Daftar IP Binary Defense IP	Sistem Pertahanan Biner Pakan intelijen ancaman artileri dan pakan banlist IP.
Peringkat BGP	Peringkat ASNs memiliki konten yang paling jahat.
Pelacak botnet	Melacak beberapa botnet aktif.
Botvrij.eu	Botvrij.eu menyediakan berbagai set IOC open source yang dapat Anda gunakan di perangkat keamanan Anda untuk mendeteksi kemungkinan aktivitas berbahaya.
Bruteforceblocker	BruteforceBlocker adalah skrip Perl yang memantau log SSHD server dan mengidentifikasi serangan brute force, yang kemudian digunakan untuk secara otomatis mengonfigurasi aturan pemblokiran firewall dan mengirimkan IP tersebut kembali ke situs proyek, http://danger.rulez.sk/prrojects/bruteforceBerer/danger.rulez.sk/prrojecs/bruteforceer/brutpblist.
Pelacak C&C	Umpan dari alamat IP C&C yang diketahui, aktif dan tidak bersinar, dari Bambenek Consulting. Membutuhkan lisensi untuk penggunaan komersial.
Certstream	Aliran pembaruan log transparansi sertifikat waktu nyata. Lihat sertifikat SSL karena dikeluarkan secara real time.
Sertifikat Malware Forum CCSS	Berikut ini adalah daftar sertifikat digital yang telah dilaporkan oleh forum tersebut mungkin dikaitkan dengan malware dengan berbagai otoritas sertifikat. Informasi ini dimaksudkan untuk membantu mencegah perusahaan menggunakan sertifikat digital untuk menambah legitimasi pada malware dan mendorong pencabutan yang cepat dari sertifikat tersebut.
Daftar CI Army	Subset dari daftar skor CINS komersial, yang berfokus pada IP yang berperingkat buruk yang saat ini tidak ada pada daftar ancaman lainnya.
Payung Cisco	Kemungkinan daftar putih dari 1 juta situs teratas yang diselesaikan oleh Cisco Umbrella (adalah Opendns).
Pemindaian virus cloudmersif	CloudMersive Virus memindai file pemindaian, URL, dan penyimpanan cloud untuk virus. Mereka memanfaatkan tanda tangan yang terus diperbarui untuk jutaan ancaman, dan kemampuan pemindaian kinerja tinggi yang maju. Layanan ini gratis, tetapi mengharuskan Anda mendaftar untuk akun untuk mengambil kunci API pribadi Anda.
Konsol crowdsec	CTI yang bersumber dari kerumunan terbesar, diperbarui dalam waktu dekat, berkat Crowdsec A Next-Gen, open-source, gratis, dan perangkat lunak IDS/IPS kolaboratif. Crowdsec dapat menganalisis perilaku pengunjung & memberikan respons yang disesuaikan untuk semua jenis serangan. Pengguna dapat berbagi peringatan tentang ancaman dengan masyarakat dan mendapat manfaat dari efek jaringan. Alamat IP dikumpulkan dari serangan nyata dan tidak datang secara eksklusif dari jaringan honeypot.
Cyber Cure Free Intelligence Feeds	Cyber Cure menawarkan feed intelijen ancaman cyber gratis dengan daftar alamat IP yang saat ini terinfeksi dan menyerang di internet. Ada daftar URL yang digunakan oleh malware dan daftar file hash dari malware yang diketahui yang saat ini menyebar. Cybercure menggunakan sensor untuk mengumpulkan kecerdasan dengan tingkat positif palsu yang sangat rendah. Dokumentasi terperinci juga tersedia.
Feeds Intelijen Ancaman Cyware	Feed Ancaman Intelijen Cyware memberi Anda data ancaman yang berharga dari berbagai sumber terbuka dan tepercaya untuk memberikan aliran konsolidasi intelijen ancaman yang berharga dan dapat ditindaklanjuti. Feed ancaman kami sepenuhnya kompatibel dengan STIX 1.X dan 2.0, memberi Anda informasi terbaru tentang hash malware berbahaya, IP dan domain yang ditemukan di seluruh dunia secara real-time.
Dataplane.org	Dataplane.org adalah data internet bertenaga komunitas, umpan, dan sumber daya pengukuran untuk operator, oleh operator. Kami menyediakan layanan yang andal dan dapat dipercaya tanpa biaya.
Focsec.com	FOCSEC.com menyediakan API untuk mendeteksi permintaan VPN, proxys, bot, dan Tor. Data selalu terkini membantu mendeteksi login, penipuan, dan penyalahgunaan yang mencurigakan. Contoh kode dapat ditemukan dalam dokumentasi.
Digitalside Ancaman-Intel	Berisi set indikator intelijen ancaman cyber open source, sebagian besar didasarkan pada analisis malware dan URL, IP, dan domain yang dikompromikan. Tujuan dari proyek ini adalah untuk mengembangkan dan menguji cara -cara baru untuk berburu, menganalisis, mengumpulkan, dan berbagi IOC yang relevan untuk digunakan oleh SOC/CSIRT/CERT/individu dengan upaya minimun. Laporan dibagikan dalam tiga cara: Stix2, CSV dan Misp Feed. Laporan diterbitkan juga di repositori Git proyek.
Domain email sekali pakai	Kumpulan domain email anonim atau sekali pakai yang biasa digunakan untuk melakukan spam/penyalahgunaan layanan.
Jejak DNS	Sumber intelijen gratis untuk informasi DNS saat ini dan historis, informasi whois, menemukan situs web lain yang terkait dengan IP tertentu, pengetahuan dan teknologi subdomain. Ada API Intelijen IP dan Domain yang tersedia juga.
Ancaman yang muncul aturan firewall	Kumpulan aturan untuk beberapa jenis firewall, termasuk ptables, pf dan pix.
Aturan IDS ancaman yang muncul	Kumpulan file aturan Snort dan Suricata yang dapat digunakan untuk memperingatkan atau memblokir.
Pembebasan	Layanan Exonerator memelihara basis data alamat IP yang telah menjadi bagian dari jaringan TOR. Ini menjawab pertanyaan apakah ada relay Tor yang berjalan pada alamat IP yang diberikan pada tanggal tertentu.
Exploitalert	Daftar eksploitasi terbaru yang dirilis.
FastIntercept	Intercept Security menyelenggarakan sejumlah daftar reputasi IP gratis dari jaringan honeypot global mereka.
Zeus Tracker	Feodo Tracker Penyalahgunaan.ch melacak Feodo Trojan.
Daftar IP Firehol	400+ feed IP yang tersedia untuk umum dianalisis untuk mendokumentasikan evolusi mereka, geo-map, usia IP, kebijakan retensi, tumpang tindih. Situs ini berfokus pada kejahatan dunia maya (serangan, penyalahgunaan, malware).
FraudGuard	FraudGuard adalah layanan yang dirancang untuk memberikan cara mudah untuk memvalidasi penggunaan dengan terus mengumpulkan dan menganalisis lalu lintas internet real-time.
Greynoise	Greynoise mengumpulkan dan menganalisis data tentang aktivitas pemindaian di seluruh internet. Ini mengumpulkan data tentang pemindai jinak seperti Shodan.io, serta aktor jahat seperti SSH dan Telnet Worms.
Honeydb	HoneyDB menyediakan data waktu nyata dari aktivitas honeypot. Data ini berasal dari honeypots yang digunakan di internet menggunakan honeypy honeypot. Selain itu, HoneyDB menyediakan akses API ke aktivitas honeypot yang dikumpulkan, yang juga mencakup data agregat dari berbagai umpan Twitter honeypot.
Air icewater	12.805 Aturan Yara gratis yang dibuat oleh Project Icewater.
Infosec - cert -pa	Pengumpulan dan analisis sampel malware, layanan blocklist, database kerentanan dan banyak lagi. Dibuat dan dikelola oleh cert-pa.
Laboratorium pemeriksaan	Portal data yang terbuka, interaktif, dan API yang digerakkan untuk peneliti keamanan. Cari kumpulan besar sampel file, informasi reputasi agregat, dan IOC yang diekstraksi dari sumber publik. Augment Yara Development dengan tooling untuk menghasilkan pemicu, menangani hex case campuran, dan menghasilkan ekspresi reguler yang kompatibel dengan base64.
I-blocklist	I-Blocklist memelihara beberapa jenis daftar yang berisi alamat IP milik berbagai kategori. Beberapa kategori utama ini termasuk negara, ISP dan organisasi. Daftar lain termasuk serangan web, Tor, spyware dan proxy. Banyak yang bebas digunakan, dan tersedia dalam berbagai format.
Ipsum	IPSUM adalah feed intelijen ancaman berdasarkan pada 30+ daftar alamat IP yang mencurigakan dan/atau berbahaya yang tersedia untuk umum. Semua daftar secara otomatis diambil dan diuraikan berdasarkan harian (24 jam) dan hasil akhirnya didorong ke repositori ini. Daftar dibuat dari alamat IP bersama dengan jumlah total kejadian (hitam) (untuk masing -masing). Dibuat dan dikelola oleh Miroslav Stampar.
James Brine Ancaman Intelijen memberi makan	Jamesbrine menyediakan feed intelijen ancaman harian untuk alamat IP berbahaya dari honeypot yang berlokasi internasional di cloud dan infrastruktur pribadi yang mencakup berbagai protokol termasuk SSH, FTP, RDP, GIT, SNMP dan Redis. IOC hari sebelumnya tersedia di STIX2 serta IOC tambahan seperti URI yang mencurigakan dan domain yang baru terdaftar yang memiliki ketelitian tinggi dalam kampanye phishing.
Feed data ancaman kaspersky	Terus diperbarui dan informasikan bisnis Anda atau klien tentang risiko dan implikasi yang terkait dengan ancaman cyber. Data real-time membantu Anda mengurangi ancaman secara lebih efektif dan bertahan terhadap serangan bahkan sebelum mereka diluncurkan. Umpan data demo berisi set IOC terpotong (hingga 1%) dibandingkan dengan yang komersial
Jutaan megah	Kemungkinan daftar putih dari 1 juta situs Web teratas, sebagaimana diperingkat oleh Majestic. Situs dipesan dengan jumlah subnet yang merujuk. Lebih lanjut tentang peringkat dapat ditemukan di blog mereka.
Maldatabase	Maldatabase dirancang untuk membantu memalsukan ilmu data dan ancaman intelijen. Data yang disediakan berisi informasi yang baik tentang, di antara bidang -bidang lain, domain yang dihubungi, daftar proses yang dieksekusi dan file yang dijatuhkan oleh setiap sampel. Umpan ini memungkinkan Anda untuk meningkatkan alat pemantauan dan keamanan Anda. Layanan gratis tersedia untuk peneliti dan siswa keamanan.
Malpedia	Tujuan utama Malpedia adalah untuk menyediakan sumber daya untuk identifikasi cepat dan konteks yang dapat ditindaklanjuti ketika menyelidiki malware. Keterbukaan untuk kontribusi yang dikuratori harus memastikan tingkat kualitas yang bertanggung jawab untuk mendorong penelitian yang bermakna dan dapat direproduksi.
Malshare.com	Proyek Malshare adalah repositori malware publik yang memberikan akses gratis kepada para peneliti ke sampel.
MalTiverse	Proyek MalTiverse adalah database IOC yang besar dan diperkaya di mana dimungkinkan untuk membuat pertanyaan yang rumit, dan agregasi untuk menyelidiki tentang kampanye malware dan infrastrukturnya. Ini juga memiliki layanan kueri massal IOC yang hebat.
Malwarebazaar	Malwarebazaar adalah proyek dari penyalahgunaan.ch dengan tujuan berbagi sampel malware dengan komunitas Infosec, vendor AV dan penyedia ancaman intelijen.
Daftar Domain Malware	Daftar domain berbahaya yang dapat dicari yang juga melakukan pencarian terbalik dan daftar pendaftar, berfokus pada kit phishing, trojan, dan eksploitasi.
Patroli Malware	Patroli malware menyediakan daftar blok, umpan data, dan intelijen ancaman bagi perusahaan dari semua ukuran. Karena spesialisasi kami adalah intelijen ancaman dunia maya, semua sumber daya kami masuk untuk memastikan itu adalah kualitas setinggi mungkin. Kami percaya tim keamanan dan alatnya hanya sebagus data yang digunakan. Ini berarti feed kami tidak diisi dengan indikator yang tergores dan tidak diverifikasi. Kami menghargai kualitas lebih dari kuantitas.
Malware-traffic-analysis.net	Blog ini berfokus pada lalu lintas jaringan yang terkait dengan infeksi malware. Berisi latihan analisis lalu lintas, tutorial, sampel malware, file PCAP dari lalu lintas jaringan berbahaya, dan posting blog teknis dengan pengamatan.
Malwaredomains.com	Proyek DNS-BH membuat dan memelihara daftar domain yang diketahui digunakan untuk menyebarkan malware dan spyware. Ini dapat digunakan untuk deteksi serta pencegahan (permintaan DNS yang sedang menenggelamkan).
Metadefender Cloud	Feed intelijen ancaman cloud metadefender berisi tanda tangan hash malware baru, termasuk MD5, SHA1, dan SHA256. Hash baru ini telah terlihat oleh Metadefender Cloud dalam 24 jam terakhir. Feed diperbarui setiap hari dengan malware yang baru terdeteksi dan dilaporkan untuk memberikan intelijen ancaman yang dapat ditindaklanjuti dan tepat waktu.
Proyek Netlab OpenData	Proyek NetLab Opendata disajikan kepada publik pertama di ISC '2016 pada 16 Agustus 2016. Kami saat ini menyediakan beberapa umpan data, termasuk DGA, EK, Malcon, Mirai C2, Mirai-Scanner, Hajime-Scanner dan DRDOS Reflector.
Tidak ada kabar!	SNMP, SSH, Telnet IPS Blacklisted dari Honeypots Matteo Cantoni
Layanan NormShield	Layanan NormShield menyediakan ribuan informasi domain (termasuk informasi whois) bahwa potensi serangan phishing mungkin berasal. Layanan pelanggaran dan daftar hitam juga tersedia. Ada pendaftaran gratis untuk layanan publik untuk pemantauan berkelanjutan.
Ancaman Novasense	Novasense adalah Pusat Intelijen Ancaman Snapt, dan memberikan wawasan dan alat untuk perlindungan ancaman pre-emptive dan mitigasi serangan. Novasense melindungi klien dari semua ukuran dari penyerang, penyalahgunaan, botnet, serangan DOS dan banyak lagi.
Mengedus	Pembaca RSS untuk tim cybersecurity. Ubah blog apa pun menjadi intelijen ancaman yang terstruktur dan dapat ditindaklanjuti.
Feed Openphish	OpenPhish menerima URL dari beberapa aliran dan menganalisisnya menggunakan algoritma deteksi phishing miliknya. Ada penawaran gratis dan komersial yang tersedia.
0xSI_F33D	Layanan gratis untuk mendeteksi phishing dan domain malware yang dimiliki, IP daftar hitam di dalam dunia maya Portugis.
Phishtank	Phishtank memberikan daftar dugaan URL phishing. Data mereka berasal dari laporan manusia, tetapi mereka juga menelan umpan eksternal jika memungkinkan. Ini layanan gratis, tetapi mendaftar untuk kunci API kadang -kadang diperlukan.
Pickupstix	Pickupstix adalah pakan intelijen ancaman cyber gratis, open-source, dan non-commercialized. Saat ini, Pickupstix menggunakan tiga umpan publik dan mendistribusikan sekitar 100 keping intelijen baru setiap hari. PickUpstix menerjemahkan berbagai feed ke Stix, yang dapat berkomunikasi dengan server TaxiI. Data ini gratis untuk digunakan dan merupakan cara yang bagus untuk mulai menggunakan kecerdasan ancaman dunia maya.
Menyelamatkan Ancaman Intel Feed	[Res] Cure adalah proyek intelijen ancaman independen yang dilakukan oleh tim crack Fruxlabs untuk meningkatkan pemahaman mereka tentang arsitektur yang mendasari sistem terdistribusi, sifat intelijen ancaman dan bagaimana cara mengumpulkan, menyimpan, mengkonsumsi, dan mendistribusikan kecerdasan ancaman secara efisien. Feed dihasilkan setiap 6 jam.
Feed Intel Ancaman Cloud RST	Indikator kompromi agregat dikumpulkan dan diverifikasi silang dari beberapa sumber terbuka dan yang didukung masyarakat, diperkaya dan diperingkat menggunakan platform intelijen kami.
IPS Blacklisted Rutgers	Daftar IP Penyerang SSH Brute Force dibuat dari IPS yang diamati secara lokal dan IP lama yang terdaftar di Badip.com dan Blocklist.de
Sans ics domain mencurigakan	Ancaman domain yang mencurigakan daftar oleh Sans ICS melacak domain yang mencurigakan. Ini menawarkan 3 daftar yang dikategorikan sebagai sensitivitas tinggi, menengah atau rendah, di mana daftar sensitivitas tinggi memiliki lebih sedikit positif palsu, sedangkan daftar sensitivitas rendah dengan lebih banyak positif palsu. Ada juga daftar putih domain yang disetujui. Akhirnya, ada daftar blokir IP yang disarankan dari DShield.
IOCSCORECARD Security	IOC akses publik dari posting dan laporan blog teknis oleh SecurityScorecard.
Stixify	Analis Intelijen Ancaman Otomatis Anda. Ekstrak mesin yang dapat dibaca oleh mesin dari data yang tidak terstruktur.
basis tanda tangan	Database tanda tangan yang digunakan dalam alat lain oleh NEO23X0.
Proyek Spamhaus	Proyek Spamhaus berisi beberapa ancaman yang terkait dengan aktivitas spam dan malware.
Sophoslabs Intelix	Sophoslabs Intelix adalah platform ancaman intelijen yang mendukung produk dan mitra Sophos. Anda dapat mengakses kecerdasan berdasarkan hash file, URL dll. Serta mengirimkan sampel untuk analisis. Melalui REST API, Anda dapat dengan mudah dan cepat menambahkan intelijen ancaman ini ke sistem Anda.
Memacu	Spur menyediakan alat dan data untuk mendeteksi VPN, proxy perumahan, dan bot. Paket gratis memungkinkan pengguna untuk mencari IP dan mendapatkan klasifikasi, penyedia VPN, geolokasi populer di belakang IP, dan beberapa konteks yang lebih berguna.
Blacklist SSL	SSL Blacklist (SSLBL) adalah proyek yang dikelola oleh penyalahgunaan.ch. Tujuannya adalah untuk memberikan daftar sertifikat SSL "buruk" yang diidentifikasi oleh penyalahgunaan.ch untuk dikaitkan dengan aktivitas malware atau botnet. SSLBL mengandalkan sidik jari SHA1 dari sertifikat SSL berbahaya dan menawarkan berbagai daftar hitam
Statvoo Top 1 juta situs	Kemungkinan daftar putih dari 1 juta situs Web teratas, sebagaimana diperingkat oleh Statvoo.
Strongarm, dengan jaringan rezeki	Strongarm adalah lubang hitam DNS yang mengambil tindakan pada indikator kompromi dengan memblokir perintah dan kontrol malware. Strongarm agregat umpan indikator gratis, terintegrasi dengan umpan komersial, menggunakan umpan IOC Percipient, dan mengoperasikan penyelesaian DNS dan API untuk Anda gunakan untuk melindungi jaringan dan bisnis Anda. Strongarm gratis untuk penggunaan pribadi.
Aturan SIEM	Database Rekayasa Deteksi Anda. Lihat, memodifikasi, dan menggunakan aturan SIEM untuk perburuan dan deteksi ancaman.
Talos	Cisco Talos Intelligence Group adalah salah satu tim intelijen ancaman komersial terbesar di dunia, yang terdiri dari peneliti, analis, dan insinyur kelas dunia. Tim -tim ini didukung oleh telemetri yang tak tertandingi dan sistem canggih untuk menciptakan intelijen ancaman yang akurat, cepat dan dapat ditindaklanjuti untuk pelanggan, produk, dan layanan Cisco. Talos membela pelanggan Cisco terhadap ancaman yang diketahui dan muncul, menemukan kerentanan baru dalam perangkat lunak umum, dan melarang ancaman di alam liar sebelum mereka dapat lebih membahayakan internet pada umumnya. Talos mempertahankan set aturan resmi Snort.org, Clamav, dan Spamcop, selain merilis banyak alat penelitian dan analisis sumber terbuka. Talos menyediakan UI Web yang mudah digunakan untuk memeriksa reputasi yang dapat diamati.
ancaman .o	AncromFeeds.io mencantumkan feed dan sumber intelijen ancaman gratis dan open-source dan menyediakan tautan unduhan langsung dan ringkasan langsung.
ancamanfox.abuse.ch	Ancamanfox adalah platform gratis dari penyalahgunaan.
Blog dan Laporan Teknis, dengan Ancamanconnect	Sumber ini sedang diisi dengan konten dari lebih dari 90 open source, blog keamanan. IOC (indikator kompromi) diuraikan dari setiap blog dan konten blog diformat dalam penurunan harga.
Ancaman jammer	Ancaman Jammer adalah layanan API REST yang memungkinkan pengembang, insinyur keamanan, dan profesional TI lainnya untuk mengakses data intelijen ancaman berkualitas tinggi dari berbagai sumber dan mengintegrasikannya ke dalam aplikasi mereka dengan satu-satunya tujuan mendeteksi dan memblokir aktivitas berbahaya.
Ancaman	Ancaman telah dibuat untuk membebaskan analis dari pengumpulan data dan untuk memberi mereka portal tempat mereka dapat melakukan tugas mereka, dari membaca laporan hingga pivoting dan pengayaan data. Penekanan ancaman bukan hanya tentang indikator kompromi (IOC) tetapi juga untuk memberikan analis informasi kontekstual terkait dengan IOC yang mereka lihat.
Alamat email malware wstnphx	Alamat email yang digunakan oleh malware yang dikumpulkan oleh Vvestron Phoronix (WSTNPHX)
Bawah Tertinggi. Today	Undertack adalah platform intelijen gratis, ia berbagi IP dan informasi tentang peristiwa dan serangan yang mencurigakan. Pendaftaran gratis.
Urlhaus	Urlhaus adalah proyek dari penyalahgunaan.ch dengan tujuan berbagi URL berbahaya yang digunakan untuk distribusi malware.
Virusshare	VirusShare.com adalah gudang sampel malware untuk memberikan peneliti keamanan, responden insiden, analis forensik, dan akses yang anehnya penasaran ke sampel kode jahat. Akses ke Situs diberikan melalui undangan saja.
Yara-Rules	Repositori Sumber Terbuka dengan tanda -tanda Yara berbeda yang dikompilasi, diklasifikasikan, dan disimpan hingga saat ini.
Pakan ancaman tumpukan ganda ke -1 oleh Mrlooquer	Mrlooquer telah menciptakan feed ancaman pertama yang berfokus pada sistem dengan tumpukan ganda. Karena protokol IPv6 telah mulai menjadi bagian dari komunikasi malware dan penipuan, perlu untuk mendeteksi dan mengurangi ancaman dalam kedua protokol (IPv4 dan IPv6).

Format

Format standar untuk berbagi intelijen ancaman (kebanyakan IOC).

Capec	Pencacian dan klasifikasi pola serangan umum (CAPEC) adalah kamus yang komprehensif dan taksonomi klasifikasi serangan yang diketahui yang dapat digunakan oleh analis, pengembang, penguji, dan pendidik untuk memajukan pemahaman masyarakat dan meningkatkan pertahanan.
Cybox	Bahasa ekspresi cyber yang dapat diamati (cybox) menyediakan struktur umum untuk mewakili cyber yang dapat diamati di seluruh dan di antara area operasional keamanan cyber perusahaan yang meningkatkan konsistensi, efisiensi, dan interoperabilitas alat dan proses yang digunakan, serta meningkatkan kesadaran situasional secara keseluruhan dengan memungkinkan potensi untuk pembagian otomatis yang dapat diotomatisasi, pemetaan, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan analisis, dan pemetaan, dan analisis.
IODEF (RFC5070)	Format Exchange Deskripsi Objek Insiden (IODEF) mendefinisikan representasi data yang menyediakan kerangka kerja untuk berbagi informasi yang biasanya dipertukarkan oleh tim respons insiden keamanan komputer (CSIRTS) tentang insiden keamanan komputer.
IDMEF (RFC4765)	Eksperimental - Tujuan dari format pertukaran pesan deteksi intrusi (IDMEF) adalah untuk mendefinisikan format data dan pertukaran prosedur untuk berbagi informasi yang menarik bagi sistem deteksi dan respons intrusi dan sistem manajemen yang mungkin perlu berinteraksi dengan mereka.
Maec	Proyek Atribut Pencacahan dan Karakterisasi Malware (MAEC) bertujuan untuk membuat dan menyediakan bahasa standar untuk berbagi informasi terstruktur tentang malware berdasarkan atribut seperti perilaku, artefak, dan pola serangan.
OpenC2	Komite Teknis Komando dan Kontrol (OpenC2) OASIS. OpenC2 TC akan mendasarkan upayanya pada artefak yang dihasilkan oleh Forum Openc2. Sebelum penciptaan TC dan spesifikasi ini, Forum Openc2 adalah komunitas pemangku kepentingan keamanan cyber yang difasilitasi oleh Badan Keamanan Nasional (NSA). Openc2 TC disewa untuk menyusun dokumen, spesifikasi, leksikon atau artefak lainnya untuk memenuhi kebutuhan perintah dan kontrol keamanan cyber dengan cara standar.
Stix 2.0	Bahasa Ancaman Informasi Ancaman Terstruktur (STIX) adalah konstruksi standar untuk mewakili informasi ancaman dunia maya. Bahasa Stix bermaksud untuk menyampaikan berbagai informasi ancaman cyber potensial dan berusaha untuk sepenuhnya ekspresif, fleksibel, dapat diperluas, dan dapat diotomata. Stix tidak hanya memungkinkan bidang-bidang agnostik alat, tetapi juga menyediakan apa yang disebut mekanisme uji yang menyediakan sarana untuk menanamkan elemen spesifik pahat, termasuk OpenIOC, Yara dan Snort. Stix 1.x telah diarsipkan di sini.
Taxii	Standar Pertukaran Informasi Indikator (Taxii) yang tepercaya mendefinisikan serangkaian layanan dan pertukaran pesan yang, ketika diimplementasikan, memungkinkan berbagi informasi ancaman dunia maya yang dapat ditindaklanjuti di seluruh organisasi dan batasan produk/layanan. Taxii mendefinisikan konsep, protokol, dan pertukaran pesan untuk bertukar informasi ancaman dunia maya untuk deteksi, pencegahan, dan mitigasi ancaman cyber.
Veris	Kosakata untuk perekaman acara dan pembagian insiden (VERIS) adalah seperangkat metrik yang dirancang untuk menyediakan bahasa umum untuk menggambarkan insiden keamanan dengan cara yang terstruktur dan berulang. Veris adalah respons terhadap salah satu tantangan paling kritis dan gigih dalam industri keamanan - kurangnya informasi kualitas. Selain memberikan format terstruktur, Veris juga mengumpulkan data dari masyarakat untuk melaporkan pelanggaran dalam Laporan Investigasi Pelanggaran Data Verizon (DBIR) dan menerbitkan database ini secara online di github repository.org.

Kerangka kerja dan platform

Kerangka kerja, platform, dan layanan untuk mengumpulkan, menganalisis, menciptakan, dan berbagi intelijen ancaman.

Penyalahgunaanhelper	Penyalahgunaanhelper adalah kerangka kerja open-source untuk menerima dan mendistribusikan kembali pakan penyalahgunaan dan ancaman Intel.
Penyalahgunaan	Toolkit untuk menerima, memproses, mengkorelasikan dan memberi tahu pengguna akhir tentang laporan penyalahgunaan, sehingga mengonsumsi feed intelijen ancaman.
AIS	Kemampuan Cybersecurity and Infrastructure Security Agency (CISA) Free Automated Indikator (AIS) memungkinkan pertukaran indikator ancaman cyber antara pemerintah federal dan sektor swasta dengan kecepatan mesin. Indikator ancaman adalah informasi seperti alamat IP berbahaya atau alamat pengirim email phishing (meskipun mereka juga bisa jauh lebih rumit).
Pembalas berjanggut	Cara tercepat untuk mengkonsumsi intelijen ancaman. Penerus CIF.
Jaringan pertukaran ancaman blueliv	Memungkinkan peserta untuk berbagi indikator ancaman dengan masyarakat.
Korteks	Cortex memungkinkan yang dapat diamati, seperti IPS, alamat email, URL, nama domain, file atau hash, untuk dianalisis satu per satu atau dalam mode curah menggunakan antarmuka web tunggal. Antarmuka web bertindak sebagai frontend untuk banyak analisis, menghilangkan kebutuhan untuk mengintegrasikannya sendiri selama analisis. Analis juga dapat menggunakan API REST CORTEX untuk mengotomatisasi bagian analisis mereka.
Crits	CRITS adalah platform yang menyediakan analis dengan sarana untuk melakukan penelitian kolaboratif ke dalam malware dan ancaman. Ini terhubung ke repositori data intelijen terpusat, tetapi juga dapat digunakan sebagai instance pribadi.
CIF	The Collective Intelligence Framework (CIF) memungkinkan Anda untuk menggabungkan informasi ancaman jahat yang diketahui dari banyak sumber dan menggunakan informasi itu untuk IR, deteksi dan mitigasi. Kode tersedia di GitHub.
Ctix	CTIX adalah platform intelijen ancaman (tip) yang cerdas, klien-server (TIP) untuk konsumsi, pengayaan, analisis, dan berbagi dua arah dari data ancaman dalam jaringan tepercaya Anda.
Platform Eclecticiq	Platform Eclecticiq adalah platform intelijen ancaman berbasis STIX/TAXII (TIP) yang memberdayakan analis ancaman untuk melakukan investigasi yang lebih cepat, lebih baik, dan lebih dalam sambil menyebarkan intelijen pada kecepatan mesin.
Intelmq	IntelMQ adalah solusi untuk sertifikat untuk mengumpulkan dan memproses umpan keamanan, pastebin, tweet menggunakan protokol antrian pesan. Ini adalah inisiatif yang didorong oleh komunitas yang disebut IHAP (Proyek Otomasi Penanganan Insiden) yang secara konseptual dirancang oleh sertifikat Eropa selama beberapa acara Infosec. Tujuan utamanya adalah untuk memberikan kepada responden insiden cara mudah untuk mengumpulkan & memproses intelijen ancaman sehingga meningkatkan proses penanganan insiden CERT.
Intelowl	Intel Owl adalah solusi OSINT untuk mendapatkan data intelijen ancaman tentang file tertentu, IP atau domain dari API tunggal pada skala. Intel Owl terdiri dari analisis yang dapat dijalankan untuk mengambil data dari sumber eksternal (seperti virustotal atau penyalahgunaan) atau untuk menghasilkan intel dari analisis internal (seperti yara atau oletools). Ini dapat diintegrasikan dengan mudah dalam tumpukan alat keamanan Anda (Pyintelowl) untuk mengotomatiskan pekerjaan umum yang biasanya dilakukan, misalnya, oleh analis SOC secara manual.
Kaspersky Ancaman Intelijen Portal	Situs web yang menyediakan basis pengetahuan yang menggambarkan ancaman dunia maya, objek yang sah, dan hubungannya, disatukan menjadi satu layanan web. Berlangganan Portal Intelijen Ancaman Kaspersky Lab memberi Anda satu titik masuk ke empat layanan pelengkap: umpan data ancaman Kaspersky, pelaporan ancaman intelijen, pencarian ancaman Kaspersky dan kotak pasir penelitian Kaspersky, semuanya tersedia dalam format yang dapat dibaca manusia dan dapat dibaca mesin.
Malstrom	Malstrom bertujuan untuk menjadi gudang untuk pelacakan ancaman dan artefak forensik, tetapi juga menyimpan aturan dan catatan Yara untuk diselidiki. Catatan: Proyek GitHub telah diarsipkan (tidak ada kontribusi baru yang diterima).
Manati	Proyek Manati membantu analis ancaman dengan menggunakan teknik pembelajaran mesin yang menemukan hubungan dan kesimpulan baru secara otomatis.
Mantis	Analisis berbasis model Sumber Intelijen Ancaman (MANTIS) Kerangka Manajemen Ancaman Cyber Intelligence mendukung manajemen intelijen ancaman dunia maya yang diungkapkan dalam berbagai bahasa standar, seperti Stix dan Cybox. Ini * tidak * siap untuk produksi skala besar.
Megatron	Megatron adalah alat yang diterapkan oleh CERT-SE yang mengumpulkan dan menganalisis IP yang buruk, dapat digunakan untuk menghitung statistik, mengonversi dan menganalisis file log dan dalam penyalahgunaan & penanganan insiden.
Minemeld	Kerangka pemrosesan intelijen ancaman yang dapat diperluas menciptakan jaringan Palo Alto. Ini dapat digunakan untuk memanipulasi daftar indikator dan mengubah dan/atau mengumpulkannya untuk dikonsumsi oleh infrastruktur penegakan pihak ketiga.
Misp	Platform Berbagi Informasi Malware (MISP) adalah solusi perangkat lunak open source untuk mengumpulkan, menyimpan, mendistribusikan dan berbagi indikator keamanan cyber dan analisis malware.
n6	N6 (Network Security Incident Exchange) adalah sistem untuk mengumpulkan, mengelola, dan mendistribusikan informasi keamanan dalam skala besar. Distribusi direalisasikan melalui API REST sederhana dan antarmuka web yang dapat digunakan pengguna yang berwenang untuk menerima berbagai jenis data, khususnya informasi tentang ancaman dan insiden dalam jaringan mereka. Ini dikembangkan oleh Cert Polska.
Opencti	Opencti, platform intelijen ancaman dunia maya terbuka, memungkinkan organisasi untuk mengelola pengetahuan dan dapat diamati ancaman cyber ancaman mereka. Tujuannya adalah untuk menyusun, menyimpan, mengatur, dan memvisualisasikan informasi teknis dan non-teknis tentang ancaman cyber. Data disusun di sekitar skema pengetahuan berdasarkan standar STIX2. Opencti dapat diintegrasikan dengan alat dan platform lain, termasuk Misp, Thehive, dan Mitre ATT & CK, AO
Openioc	OpenIOC adalah kerangka kerja terbuka untuk berbagi intelijen ancaman. Ini dirancang untuk bertukar informasi ancaman baik secara internal maupun eksternal dalam format yang dapat dicerna mesin.
Opentaxii	Opentaxii adalah implementasi Python yang kuat dari layanan taxii yang memberikan set fitur yang kaya dan API Pythonic yang ramah yang dibangun di atas aplikasi yang dirancang dengan baik.
Ostrica	Kerangka kerja yang berorientasi plugin open source untuk mengumpulkan dan memvisualisasikan informasi intelijen ancaman.
OTX - Pertukaran Ancaman Terbuka	Alienvault Open Ancaman Exchange (OTX) menyediakan akses terbuka ke komunitas global peneliti ancaman dan profesional keamanan. Ini memberikan data ancaman yang dihasilkan masyarakat, memungkinkan penelitian kolaboratif, dan mengotomatiskan proses memperbarui infrastruktur keamanan Anda dengan data ancaman dari sumber apa pun.
Pertukaran Mitra Ancaman Terbuka	Open Ancaman Mitra Exchange (OpENTPX) terdiri dari format open-source dan alat untuk bertukar data intelijen ancaman yang dapat dibaca mesin dan data operasi keamanan jaringan. Ini adalah format berbasis JSON yang memungkinkan berbagi data antara sistem yang terhubung.
Passivetotal	Platform Passivetotal yang ditawarkan oleh RiskIQ adalah platform analisis analisis yang memberi para analis dengan data sebanyak mungkin untuk mencegah serangan sebelum terjadi. Beberapa jenis solusi ditawarkan, serta integrasi (API) dengan sistem lain.
Berdenyut	Pulsedive adalah platform intelijen ancaman masyarakat gratis yang mengonsumsi umpan open-source, memperkaya IOC, dan menjalankannya melalui algoritma skor risiko untuk meningkatkan kualitas data. Ini memungkinkan pengguna untuk mengirimkan, mencari, mengkorelasikan, dan memperbarui IOC; daftar "faktor risiko" mengapa IOC adalah risiko yang lebih tinggi; and provides a high level view of threats and threat activity.
Recorded Future	Recorded Future is a premium SaaS product that automatically unifies threat intelligence from open, closed, and technical sources into a single solution. Their technology uses natural language processing (NLP) and machine learning to deliver that threat intelligence in real time — making Recorded Future a popular choice for IT security teams.
Scumblr	Scumblr is a web application that allows performing periodic syncs of data sources (such as Github repositories and URLs) and performing analysis (such as static analysis, dynamic checks, and metadata collection) on the identified results. Scumblr helps you streamline proactive security through an intelligent automation framework to help you identify, track, and resolve security issues faster.
STAXX (Anomali)	Anomali STAXX™ gives you a free, easy way to subscribe to any STIX/TAXII feed. Simply download the STAXX client, configure your data sources, and STAXX will handle the rest.
stoQ	stoQ is a framework that allows cyber analysts to organize and automate repetitive, data-driven tasks. It features plugins for many other systems to interact with. One use case is the extraction of IOCs from documents, an example of which is shown here, but it can also be used for deobfuscationg and decoding of content and automated scanning with YARA, for example.
TARDIS	The Threat Analysis, Reconnaissance, and Data Intelligence System (TARDIS) is an open source framework for performing historical searches using attack signatures.
ThreatConnect	ThreatConnect is a platform with threat intelligence, analytics, and orchestration capabilities. It is designed to help you collect data, produce intelligence, share it with others, and take action on it.
ThreatCrowd	ThreatCrowd is a system for finding and researching artefacts relating to cyber threats.
ThreatPipes	Stay two steps ahead of your adversaries. Get a complete picture of how they will exploit you. ThreatPipes is a reconnaissance tool that automatically queries 100's of data sources to gather intelligence on IP addresses, domain names, e-mail addresses, names and more. You simply specify the target you want to investigate, pick which modules to enable and then ThreatPipes will collect data to build up an understanding of all the entities and how they relate to each other.
ThreatExchange	Facebook created ThreatExchange so that participating organizations can share threat data using a convenient, structured, and easy-to-use API that provides privacy controls to enable sharing with only desired groups. This project is still in beta . Reference code can be found at GitHub.
TypeDB CTI	TypeDB Data - CTI is an open source threat intelligence platform for organisations to store and manage their cyber threat intelligence (CTI) knowledge. It enables threat intel professionals to bring together their disparate CTI information into one database and find new insights about cyber threats. This repository provides a schema that is based on STIX2, and contains MITRE ATT&CK as an example dataset to start exploring this threat intelligence platform. More in this blog post.
VirusBay	VirusBay is a web-based, collaboration platform that connects security operations center (SOC) professionals with relevant malware researchers.
threatnote.io	The new and improved threatnote.io - A tool for CTI analysts and teams to manage intel requirements, reporting, and CTI processes in an all-in-one platform
XFE - X-Force Exchange	The X-Force Exchange (XFE) by IBM XFE is a free SaaS product that you can use to search for threat intelligence information, collect your findings, and share your insights with other members of the XFE community.
Yeti	The open, distributed, machine and analyst-friendly threat intelligence repository. Made by and for incident responders.

Peralatan

All kinds of tools for parsing, creating and editing Threat Intelligence. Mostly IOC based.

ActorTrackr	ActorTrackr is an open source web application for storing/searching/linking actor related data. The primary sources are from users and various public repositories. Source available on GitHub.
AIEngine	AIEngine is a next generation interactive/programmable Python/Ruby/Java/Lua packet inspection engine with capabilities of learning without any human intervention, NIDS(Network Intrusion Detection System) functionality, DNS domain classification, network collector, network forensics and many others.
AIOCRIOC	Artificial Intelligence Ocular Character Recognition Indicator of Compromise (AIOCRIOC) is a tool that combines web scraping, the OCR capabilities of Tesseract and OpenAI compatible LLM API's such as GPT-4 to parse and extract IOCs from reports and other web content including embedded images with contextual data.
Analyze (Intezer)	Analyze is an all-in-one malware analysis platform that is able to perform static, dynamic, and genetic code analysis on all types of files. Users can track malware families, extract IOCs/MITRE TTPs, and download YARA signatures. There is a community edition to get started for free.
Automater	Automater is a URL/Domain, IP Address, and Md5 Hash OSINT tool aimed at making the analysis process easier for intrusion Analysts.
BlueBox	BlueBox is an OSINT solution to get threat intelligence data about a specific file, an IP, a domain or URL and analyze them.
BotScout	BotScout helps prevent automated web scripts, known as "bots", from registering on forums, polluting databases, spreading spam, and abusing forms on web sites.
bro-intel-generator	Script for generating Bro intel files from pdf or html reports.
sopir taksi	A simple Python library for interacting with TAXII servers.
cacador	Cacador is a tool written in Go for extracting common indicators of compromise from a block of text.
Menggabungkan	Combine gathers Threat Intelligence Feeds from publicly available sources.
CrowdFMS	CrowdFMS is a framework for automating collection and processing of samples from VirusTotal, by leveraging the Private API system. The framework automatically downloads recent samples, which triggered an alert on the users YARA notification feed.
CyberGordon	CyberGordon is a threat intelligence search engine. It leverages 30+ sources.
CyBot	CyBot is a threat intelligence chat bot. It can perform several types of lookups offered by custom modules.
Cuckoo Sandbox	Cuckoo Sandbox is an automated dynamic malware analysis system. It's the most well-known open source malware analysis sandbox around and is frequently deployed by researchers, CERT/SOC teams, and threat intelligence teams all around the globe. For many organizations Cuckoo Sandbox provides a first insight into potential malware samples.
Fenrir	Simple Bash IOC Scanner.
FireHOL IP Aggregator	Application for keeping feeds from FireHOL blocklist-ipsets with IP addresses appearance history. HTTP-based API service is developed for search requests.
Forager	Multithreaded threat intelligence hunter-gatherer script.
Gigasheet	Gigasheet is a SaaS product used to analyze massive, and disparate cybersecurity data sets. Import massive log files, netflow, pcaps, big CSVs and more.
GoatRider	GoatRider is a simple tool that will dynamically pull down Artillery Threat Intelligence Feeds, TOR, AlienVaults OTX, and the Alexa top 1 million websites and do a comparison to a hostname file or IP file.
Google APT Search Engine	APT Groups, Operations and Malware Search Engine. The sources used for this Google Custom Search are listed on this GitHub gist.
GOSINT	The GOSINT framework is a free project used for collecting, processing, and exporting high quality public indicators of compromise (IOCs).
hashdd	A tool to lookup related information from crytographic hash value
Harbinger Threat Intelligence	Python script that allows to query multiple online threat aggregators from a single interface.
Hippocampe	Hippocampe aggregates threat feeds from the Internet in an Elasticsearch cluster. It has a REST API which allows to search into its 'memory'. It is based on a Python script which fetchs URLs corresponding to feeds, parses and indexes them.
Hiryu	A tool to organize APT campaign information and to visualize relations between IOCs.
IOC Editor	A free editor for Indicators of Compromise (IOCs).
IOC Finder	Python library for finding indicators of compromise in text. Uses grammars rather than regexes for improved comprehensibility. As of February, 2019, it parses over 18 indicator types.
IOC Fanger (and Defanger)	Python library for fanging (`hXXp://example[.]com` => `http://example.com`) and defanging (`http://example.com` => `hXXp://example[.]com`) indicators of compromise in text.
ioc_parser	Tool to extract indicators of compromise from security reports in PDF format.
ioc_writer	Provides a Python library that allows for basic creation and editing of OpenIOC objects.
iocextract	Extracts URLs, IP addresses, MD5/SHA hashes, email addresses, and YARA rules from text corpora. Includes some encoded and “defanged” IOCs in the output, and optionally decodes/refangs them.
IOCextractor	IOC (Indicator of Compromise) Extractor is a program to help extract IOCs from text files. The general goal is to speed up the process of parsing structured data (IOCs) from unstructured or semi-structured data
ibmxforceex.checker.py	Python client for the IBM X-Force Exchange.
jager	Jager is a tool for pulling useful IOCs (indicators of compromise) out of various input sources (PDFs for now, plain text really soon, webpages eventually) and putting them into an easy to manipulate JSON format.
Kaspersky CyberTrace	Threat intelligence fusion and analysis tool that integrates threat data feeds with SIEM solutions. Users can immediately leverage threat intelligence for security monitoring and incident report (IR) activities in the workflow of their existing security operations.
KLara	KLara, a distributed system written in Python, allows researchers to scan one or more Yara rules over collections with samples, getting notifications by e-mail as well as the web interface when scan results are ready.
libtaxii	A Python library for handling TAXII Messages invoking TAXII Services.
Loki	Simple IOC and Incident Response Scanner.
LookUp	LookUp is a centralized page to get various threat information about an IP address. It can be integrated easily into context menus of tools like SIEMs and other investigative tools.
Machinae	Machinae is a tool for collecting intelligence from public sites/feeds about various security-related pieces of data: IP addresses, domain names, URLs, email addresses, file hashes and SSL fingerprints.
MalPipe	Amodular malware (and indicator) collection and processing framework. It is designed to pull malware, domains, URLs and IP addresses from multiple feeds, enrich the collected data and export the results.
MISP Workbench	Tools to export data out of the MISP MySQL database and use and abuse them outside of this platform.
MISP-Taxii-Server	A set of configuration files to use with EclecticIQ's OpenTAXII implementation, along with a callback for when data is sent to the TAXII Server's inbox.
MSTIC Jupyter and Python Security Tools	msticpy is a library for InfoSec investigation and hunting in Jupyter Notebooks.
nyx	The goal of this project is to facilitate distribution of Threat Intelligence artifacts to defensive systems and to enhance the value derived from both open source and commercial tools.
OneMillion	Python library to determine if a domain is in the Alexa or Cisco top, one million domain lists.
openioc-to-stix	Generate STIX XML from OpenIOC XML.
Omnibus	Omnibus is an interactive command line application for collecting and managing IOCs/artifacts (IPs, Domains, Email Addresses, Usernames, and Bitcoin Addresses), enriching these artifacts with OSINT data from public sources, and providing the means to store and access these artifacts in a simple way.
OSTIP	A homebrew threat data platform.
poortego	Open-source project to handle the storage and linking of open-source intelligence (ala Maltego, but free as in beer and not tied to a specific / proprietary database). Originally developed in ruby, but new codebase completely rewritten in python.
PyIOCe	PyIOCe is an IOC editor written in Python.
QRadio	QRadio is a tool/framework designed to consolidate cyber threats intelligence sources. The goal of the project is to establish a robust modular framework for extraction of intelligence data from vetted sources.
rastrea2r	Collecting & Hunting for Indicators of Compromise (IOC) with gusto and style!
Redline	A host investigations tool that can be used for, amongst others, IOC analysis.
RITA	Real Intelligence Threat Analytics (RITA) is intended to help in the search for indicators of compromise in enterprise networks of varying size.
Softrace	Lightweight National Software Reference Library RDS storage.
sqhunter	Threat hunter based on osquery, Salt Open and Cymon API. It can query open network sockets and check them against threat intelligence sources
SRA TAXII2 Server	Full TAXII 2.0 specification server implemented in Node JS with MongoDB backend.
Stixvalidator.com	Stixvalidator.com is an online free STIX and STIX2 validator service.
Stixview	Stixview is a JS library for embeddable interactive STIX2 graphs.
stix-viz	STIX Visualization Tool.
TAXII Test Server	Allows you to test your TAXII environment by connecting to the provided services and performing the different functions as written in the TAXII specifications.
threataggregator	ThreatAggregrator aggregates security threats from a number of online sources, and outputs to various formats, including CEF, Snort and IPTables rules.
threatcrowd_api	Python Library for ThreatCrowd's API.
threatcmd	Cli interface to ThreatCrowd.
Threatelligence	Threatelligence is a simple cyber threat intelligence feed collector, using Elasticsearch, Kibana and Python to automatically collect intelligence from custom or public sources. Automatically updates feeds and tries to further enhance data for dashboards. Projects seem to be no longer maintained, however.
ThreatIngestor	Flexible, configuration-driven, extensible framework for consuming threat intelligence. ThreatIngestor can watch Twitter, RSS feeds, and other sources, extract meaningful information like C2 IPs/domains and YARA signatures, and send that information to other systems for analysis.
ThreatPinch Lookup	An extension for Chrome that creates hover popups on every page for IPv4, MD5, SHA2, and CVEs. It can be used for lookups during threat investigations.
ThreatTracker	A Python script designed to monitor and generate alerts on given sets of IOCs indexed by a set of Google Custom Search Engines.
threat_intel	Several APIs for Threat Intelligence integrated in a single package. Included are: OpenDNS Investigate, VirusTotal and ShadowServer.
Threat-Intelligence-Hunter	TIH is an intelligence tool that helps you in searching for IOCs across multiple openly available security feeds and some well known APIs. The idea behind the tool is to facilitate searching and storing of frequently added IOCs for creating your own local database of indicators.
tiq-test	The Threat Intelligence Quotient (TIQ) Test tool provides visualization and statistical analysis of TI feeds.
YETI	YETI is a proof-of-concept implementation of TAXII that supports the Inbox, Poll and Discovery services defined by the TAXII Services Specification.

Research, Standards & Books

All kinds of reading material about Threat Intelligence. Includes (scientific) research and whitepapers.

APT & Cyber Criminal Campaign Collection	Extensive collection of (historic) campaigns. Entries come from various sources.
APTnotes	A great collection of sources regarding Advanced Persistent Threats (APTs). These reports usually include strategic and tactical knowledge or advice.
ATT&CK	Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) is a model and framework for describing the actions an adversary may take while operating within an enterprise network. ATT&CK is a constantly growing common reference for post-access techniques that brings greater awareness of what actions may be seen during a network intrusion. MITRE is actively working on integrating with related construct, such as CAPEC, STIX and MAEC.
Building Threat Hunting Strategies with the Diamond Model	Blogpost by Sergio Caltagirone on how to develop intelligent threat hunting strategies by using the Diamond Model.
Cyber Analytics Repository by MITRE	The Cyber Analytics Repository (CAR) is a knowledge base of analytics developed by MITRE based on the Adversary Tactics, Techniques, and Common Knowledge (ATT&CK™) threat model.
Cyber Threat Intelligence Capability Maturity Model (CTI-CMM)	A new Cyber Threat Intelligence Capability Maturity Model (CTI-CMM) using a stakeholder-first approach and aligned with the Cybersecurity Capability Maturity Model (C2M2) to empower your team and create lasting value.
Cyber Threat Intelligence Repository by MITRE	The Cyber Threat Intelligence Repository of ATT&CK and CAPEC catalogs expressed in STIX 2.0 JSON.
Cyber Threat Intelligence: A Product Without a Process?	A research paper describing how current cyber threat intelligence products fall short and how they can be improved by introducing and evaluating sound methodologies and processes.
Definitive Guide to Cyber Threat Intelligence	Describes the elements of cyber threat intelligence and discusses how it is collected, analyzed, and used by a variety of human and technology consumers. Further examines how intelligence can improve cybersecurity at tactical, operational, and strategic levels, and how it can help you stop attacks sooner, improve your defenses, and talk more productively about cybersecurity issues with executive management in typical for Dummies style.
The Detection Maturity Level (DML)	The DML model is a capability maturity model for referencing ones maturity in detecting cyber attacks. It's designed for organizations who perform intel-driven detection and response and who put an emphasis on having a mature detection program. The maturity of an organization is not measured by it's ability to merely obtain relevant intelligence, but rather it's capacity to apply that intelligence effectively to detection and response functions.
The Diamond Model of Intrusion Analysis	This paper presents the Diamond Model, a cognitive framework and analytic instrument to support and improve intrusion analysis. Supporting increased measurability, testability and repeatability in intrusion analysis in order to attain higher effectivity, efficiency and accuracy in defeating adversaries is one of its main contributions.
The Targeting Process: D3A and F3EAD	F3EAD is a military methodology for combining operations and intelligence.
Guide to Cyber Threat Information Sharing by NIST	The Guide to Cyber Threat Information Sharing (NIST Special Publication 800-150) assists organizations in establishing computer security incident response capabilities that leverage the collective knowledge, experience, and abilities of their partners by actively sharing threat intelligence and ongoing coordination. The guide provides guidelines for coordinated incident handling, including producing and consuming data, participating in information sharing communities, and protecting incident-related data.
Intelligence Preparation of the Battlefield/Battlespace	This publication discusses intelligence preparation of the battlespace (IPB) as a critical component of the military decision making and planning process and how IPB supports decision making, as well as integrating processes and continuing activities.
Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains	The intrusion kill chain as presented in this paper provides one with a structured approach to intrusion analysis, indicator extraction and performing defensive actions.
ISAO Standards Organization	The ISAO Standards Organization is a non-governmental organization established on October 1, 2015. Its mission is to improve the Nation's cybersecurity posture by identifying standards and guidelines for robust and effective information sharing related to cybersecurity risks, incidents, and best practices.
Joint Publication 2-0: Joint Intelligence	This publication by the US army forms the core of joint intelligence doctrine and lays the foundation to fully integrate operations, plans and intelligence into a cohesive team. The concepts presented are applicable to (Cyber) Threat Intelligence too.
Microsoft Research Paper	A framework for cybersecurity information sharing and risk reduction. A high level overview paper by Microsoft.
MISP Core Format (draft)	This document describes the MISP core format used to exchange indicators and threat information between MISP (Malware Information and threat Sharing Platform) instances.
NECOMA Project	The Nippon-European Cyberdefense-Oriented Multilayer threat Analysis (NECOMA) research project is aimed at improving threat data collection and analysis to develop and demonstratie new cyberdefense mechanisms. As part of the project several publications and software projects have been published.
Pyramid of Pain	The Pyramid of Pain is a graphical way to express the difficulty of obtaining different levels of indicators and the amount of resources adversaries have to expend when obtained by defenders.
Structured Analytic Techniques For Intelligence Analysis	This book contains methods that represent the most current best practices in intelligence, law enforcement, homeland security, and business analysis.
Threat Intelligence: Collecting, Analysing, Evaluating	This report by MWR InfoSecurity clearly describes several different types of threat intelligence, including strategic, tactical and operational variations. It also discusses the processes of requirements elicitation, collection, analysis, production and evaluation of threat intelligence. Also included are some quick wins and a maturity model for each of the types of threat intelligence defined by MWR InfoSecurity.
Threat Intelligence Sharing Platforms: An Exploratory Study of Software Vendors and Research Perspectives	A systematic study of 22 Threat Intelligence Sharing Platforms (TISP) surfacing eight key findings about the current state of threat intelligence usage, its definition and TISPs.
Traffic Light Protocol	The Traffic Light Protocol (TLP) is a set of designations used to ensure that sensitive information is shared with the correct audience. It employs four colors to indicate different degrees of sensitivity and the corresponding sharing considerations to be applied by the recipient(s).
Unit42 Playbook Viewer	The goal of the Playbook is to organize the tools, techniques, and procedures that an adversary uses into a structured format, which can be shared with others, and built upon. The frameworks used to structure and share the adversary playbooks are MITRE's ATT&CK Framework and STIX 2.0
Who's Using Cyberthreat Intelligence and How?	A whitepaper by the SANS Institute describing the usage of Threat Intelligence including a survey that was performed.
WOMBAT Project	The WOMBAT project aims at providing new means to understand the existing and emerging threats that are targeting the Internet economy and the net citizens. To reach this goal, the proposal includes three key workpackages: (i) real time gathering of a diverse set of security related raw data, (ii) enrichment of this input by means of various analysis techniques, and (iii) root cause identification and understanding of the phenomena under scrutiny.