awesome threat intelligence
1.0.0
素晴らしい脅威インテリジェンスリソースのキュレーションされたリスト
脅威の知能の簡潔な定義:コンテキスト、メカニズム、指標、意味合い、実行可能なアドバイスを含む証拠に基づいた知識、その脅威またはハザードに対する被験者の対応に関する決定を通知するために使用できる資産に対する既存または新たな脅威または危険について。
お気軽に貢献してください。
以下にリストされているリソースのほとんどは、脅威に関して(できれば)最新の情報を取得するリストおよび/またはAPIを提供します。これらの情報源を脅威の知能と見なす人もいますが、意見は異なります。真の脅威インテリジェンスを作成するには、一定量の(ドメインまたはビジネス固有の)分析が必要です。
| absedipdb | AubsipDBは、インターネット上でのハッカー、スパマー、虐待的な活動のspread延と戦うのを支援することに専念するプロジェクトです。 Webマスター、システム管理者、およびその他の利害関係者がオンラインで悪意のあるアクティビティに関連付けられているIPアドレスを報告して見つけることにより、Webをより安全にすることを支援することです。 |
| Alexaのトップ100万のサイト | Amazon(Alexa)からの上位100万のサイト。これをホワイトリストとして使用しないでください。 |
| APTグループと操作 | APTグループ、運用、戦術に関する情報とインテリジェンスを含むスプレッドシート。 |
| バイナリ防御IPバンリスト | バイナリ防衛システム大砲の脅威インテリジェンスフィードとIPバンリストフィード。 |
| BGPランキング | 最も悪意のあるコンテンツを持つASNSのランキング。 |
| ボットネットトラッカー | いくつかのアクティブボットネットを追跡します。 |
| botvrij.eu | Botvrij.euは、セキュリティデバイスで使用できるさまざまなオープンソースIOCを提供して、悪意のあるアクティビティを検出できます。 |
| BruteforceBlocker | BruteforceBlockerは、サーバーのSSHDログを監視し、ブルートフォース攻撃を識別するPerlスクリプトであり、その後、ファイアウォールブロッキングルールを自動的に構成し、プロジェクトサイトhttp://danger.rulez.sk/projects/bruteforceblocker/blist.phpに戻すために使用します。 |
| C&Cトラッカー | Bambenek Consultingからの既知のアクティブおよび非シンクのC&C IPアドレスのフィード。商業使用のためのライセンスが必要です。 |
| certStream | リアルタイム証明書の透明性ログ更新ストリーム。リアルタイムで発行されているSSL証明書を参照してください。 |
| CCSSフォーラムマルウェア証明書 | 以下は、さまざまな証明書当局にマルウェアに関連付けられている可能性があるとフォーラムで報告されているデジタル証明書のリストです。この情報は、企業がデジタル証明書を使用してマルウェアに正当性を追加し、そのような証明書の迅速な取り消しを奨励するのに役立つことを目的としています。 |
| CI陸軍リスト | 現在、他の脅威に存在していない低評価のIPに焦点を当てた商業CINSスコアリストのサブセット。 |
| シスコ傘 | Cisco Umbrellaによって解決された上位100万のサイトの可能性のあるホワイトリスト(Opendns)。 |
| CloudMersive Virusスキャン | CloudMersive Virus Scan Scan APIスキャンファイル、URL、およびウイルスのクラウドストレージ。それらは、数百万の脅威と高度な高性能スキャン機能のために継続的に更新された署名を活用しています。サービスは無料ですが、個人のAPIキーを取得するにはアカウントに登録する必要があります。 |
| クラウドセックコンソール | クラウドセックの次世代、オープンソース、無料、および共同IDS/IPSソフトウェアのおかげで、最大のクラウドソースCTIはほぼリアルタイムで更新されました。 CrowdSecは、訪問者の行動を分析し、あらゆる種類の攻撃に適応した応答を提供することができます。ユーザーは、脅威に関するアラートをコミュニティと共有し、ネットワーク効果の恩恵を受けることができます。 IPアドレスは実際の攻撃から収集され、ハニーポットネットワークからのみは来ていません。 |
| Cyber Cure Free Intelligence Feeds | Cyber Cureは、現在感染しており、インターネットで攻撃されているIPアドレスのリストを含む無料のサイバー脅威インテリジェンスフィードを提供しています。マルウェアで使用されるURLのリストと、現在広がっている既知のマルウェアのハッシュファイルのリストがあります。 Cybercureは、センサーを使用して、非常に低い偽陽性率でインテリジェンスを収集しています。詳細なドキュメントも利用できます。 |
| Cyware Threat Intelligence Feeds | Cywareの脅威インテリジェンスフィードは、貴重で実用的な脅威インテリジェンスの統合されたストリームを提供するために、幅広いオープンで信頼できるソースから貴重な脅威データをもたらします。私たちの脅威インテルフィードは、Stix 1.xおよび2.0と完全に互換性があり、悪意のあるマルウェアのハッシュ、IPS、ドメインに関する最新情報が世界中でリアルタイムで発見されました。 |
| dataplane.org | Dataplane.orgは、オペレーターによるオペレーター向けのコミュニティ駆動のインターネットデータ、フィード、測定リソースです。信頼できる信頼できるサービスを無料で提供しています。 |
| Focsec.com | Focsec.comは、VPN、プロキシ、ボット、TORリクエストを検出するためのAPIを提供します。常に最新のデータは、疑わしいログイン、詐欺、虐待の検出に役立ちます。コードの例はドキュメントに記載されています。 |
| デジタルサイドの脅威-Intel | 主にマルウェア分析とURL、IPS、ドメインの侵害に基づいて、オープンソースのサイバー脅威インテリジェンスインジケーターのセットが含まれています。このプロジェクトの目的は、SOC/CSIRT/CERT/個人が最小限の努力で使用するIOCを狩り、分析、収集、共有する新しい方法を開発およびテストすることです。レポートは、STIX2、CSV、およびMISPフィードの3つの方法で共有されています。レポートは、プロジェクトのGITリポジトリにも公開されています。 |
| 使い捨て電子メールドメイン | 一般的にスパム/乱用サービスに使用される匿名または使い捨ての電子メールドメインのコレクション。 |
| DNSトレイル | 現在および歴史的なDNS情報の無料インテリジェンスソース、WHOIS情報、特定のIPS、サブドメインの知識、技術に関連する他のWebサイトを見つけます。 IPおよびドメインインテリジェンスAPIも利用可能です。 |
| 新たな脅威ファイアウォールルール | Iptables、PF、PIXなど、いくつかのタイプのファイアウォールのルールのコレクション。 |
| 新たな脅威IDSルール | ArrectingまたはBlockingに使用できるSnortおよびSunicataルールファイルのコレクション。 |
| エクソネーター | Exonerator Serviceは、TORネットワークの一部であるIPアドレスのデータベースを維持しています。特定の日付に特定のIPアドレスでTORリレーが実行されているかどうかという質問に答えます。 |
| exploitalert | リリースされた最新のエクスプロイトのリスト。 |
| FastEntercept | Intercept Securityは、グローバルハニーポットネットワークから多くの無料のIP評判リストをホストしています。 |
| ゼウストラッカー | Feodo Tracker Abuse.chはFeodo Trojanを追跡します。 |
| ファイヤーホールIPリスト | 400以上の公開されているIPフィードは、進化、ジオマップ、IPSの年齢、保持ポリシー、重複を文書化するために分析されました。このサイトは、サイバー犯罪(攻撃、虐待、マルウェア)に焦点を当てています。 |
| 詐欺 | 詐欺は、リアルタイムのインターネットトラフィックを継続的に収集および分析することにより、使用を検証する簡単な方法を提供するように設計されたサービスです。 |
| グレイノイズ | Greynoiseは、インターネット全体のスキャンアクティビティに関するデータを収集および分析します。 Shodan.ioなどの良性スキャナーのデータと、SSHやTelnetワームなどの悪意のある俳優を収集します。 |
| honeydb | HoneyDBは、Honeypotアクティビティのリアルタイムデータを提供します。このデータは、Honeypy Honeypotを使用してインターネット上に展開されたハニーポットからのものです。さらに、HoneyDBは、収集されたHoneypotアクティビティへのAPIアクセスを提供します。これには、さまざまなHoneypot Twitterフィードからの集計データも含まれています。 |
| 氷水 | Project Icewaterによって作成された12,805無料ヤラルール。 |
| infosec -cert -pa | マルウェアサンプルの収集と分析、ブロックリストサービス、脆弱性データベースなど。 CERT-PAによって作成および管理されています。 |
| 調査ラボ | セキュリティ研究者向けのオープン、インタラクティブ、およびAPI駆動型のデータポータル。ファイルサンプルの大規模なコーパスを検索し、評判情報を集約し、パブリックソースから抽出されたIOCを検索します。トリガーを生成するためのツールでヤラの発達を増強し、混合ケース16進体に対処し、base64互換性のある正規表現を生成します。 |
| i-blockList | i-blockListは、さまざまなカテゴリに属するIPアドレスを含むいくつかのタイプのリストを維持しています。これらの主なカテゴリには、国、ISP、組織が含まれます。その他のリストには、Web攻撃、TOR、スパイウェア、プロキシが含まれます。多くは自由に使用でき、さまざまな形式で利用できます。 |
| ipsum | iPSUMは、疑わしいIPアドレスおよび/または悪意のあるIPアドレスの30以上の異なる公開可能なリストに基づく脅威インテリジェンスフィードです。すべてのリストは自動的に取得され、毎日(24時間)ベースで解析され、最終結果がこのリポジトリにプッシュされます。リストは、IPアドレスで構成されており、合計(黒)リストが発生します(それぞれ)。 Miroslav Stamparによって作成および管理されました。 |
| ジェームズ・ブラインの脅威インテリジェンスフィード | Jamesbrineは、SSH、FTP、RDP、GIT、SNMP、Redisなどのさまざまなプロトコルをカバーするクラウドおよびプライベートインフラストラクチャ上の国際的に位置するハニーポットからの悪意のあるIPアドレスの毎日の脅威インテリジェンスフィードを提供します。前日のIOCは、STIX2と、フィッシングキャンペーンでの使用の詳細性が高い疑わしいURIや新しく登録されたドメインなどの追加のIOCで利用できます。 |
| Kasperskyの脅威データフィード | サイバーの脅威に関連するリスクと影響について、ビジネスまたはクライアントに継続的に更新され、通知します。リアルタイムのデータは、脅威をより効果的に軽減し、攻撃が起動する前であっても攻撃を防御するのに役立ちます。デモデータフィードには、商業用データと比較して、IOCの切り捨てられたセット(最大1%)が含まれています |
| 雄大な百万 | Majesticでランク付けされているように、上位100万のWebサイトのホワイトリストの可能性があります。サイトは、参照サブネットの数で注文されます。ランキングの詳細については、ブログで見つけることができます。 |
| Maldatabase | Maldatabaseは、マルウェアデータサイエンスと脅威インテリジェンスフィードを支援するように設計されています。提供されたデータには、他のフィールドの中でも、ドメインに連絡したドメイン、実行されたプロセスのリスト、および各サンプルごとにファイルを削除する適切な情報が含まれています。これらのフィードにより、監視およびセキュリティツールを改善できます。セキュリティ研究者と学生が無料のサービスを利用できます。 |
| マルディア | マルディアの主な目標は、マルウェアを調査する際に、迅速な識別と実用的なコンテキストのためのリソースを提供することです。キュレーションされた貢献への開放性は、意味のある再現性のある研究を促進するために、説明責任のあるレベルの品質を確保するものとします。 |
| malshare.com | Malshareプロジェクトは、研究者にサンプルへの無料アクセスを提供するパブリックマルウェアリポジトリです。 |
| マルチバース | Maltiverseプロジェクトは、複雑なクエリを作成し、マルウェアキャンペーンとそのインフラストラクチャについて調査するための集約を作成することができる、大きくて濃縮されたIOCデータベースです。また、優れたIOCバルククエリサービスもあります。 |
| MalwareBazaar | MalwareBazaarは、MalwareサンプルをInfoSecコミュニティ、AVベンダー、脅威インテリジェンスプロバイダーと共有することを目的としたAubsion.chのプロジェクトです。 |
| マルウェアドメインリスト | また、リバースルックアップを実行し、フィッシング、トロイの木馬、およびエクスプロイトキットに焦点を当てた登録者をリストする悪意のあるドメインの検索可能なリスト。 |
| マルウェアパトロール | マルウェアパトロールは、あらゆる規模の企業にブロックリスト、データフィード、脅威インテリジェンスを提供します。私たちの専門はサイバー脅威インテリジェンスであるため、すべてのリソースは、それが可能な限り最高の品質であることを確認するようになります。セキュリティチームとそのツールは、使用されるデータと同じくらい良いと考えています。これは、私たちのフィードが削り取られた未確認の指標で満たされていないことを意味します。量よりも品質を大切にしています。 |
| Malware-Traffic-Analysis.net | このブログは、マルウェア感染に関連するネットワークトラフィックに焦点を当てています。トラフィック分析の演習、チュートリアル、マルウェアサンプル、悪意のあるネットワークトラフィックのPCAPファイル、および観察結果の技術的なブログ投稿が含まれています。 |
| malwaredomains.com | DNS-BHプロジェクトは、マルウェアとスパイウェアの伝播に使用されることが知られているドメインのリストを作成および維持します。これらは、検出と予防に使用できます(DNSリクエストのシンクホウティング)。 |
| メトデフェンダークラウド | Metadefender Cloud Threat Intelligence Feedsには、MD5、SHA1、SHA256などのトップの新しいマルウェアハッシュシグネチャが含まれています。これらの新しい悪意のあるハッシュは、過去24時間以内にMetadefenderクラウドによって発見されました。フィードは、新しく検出および報告されたマルウェアで毎日更新され、実用的でタイムリーな脅威インテリジェンスを提供します。 |
| netlab opendataプロジェクト | NetLab Opendataプロジェクトは、2016年8月16日にISC 2016で最初に公開されました。現在、DGA、EK、Malcon、Mirai C2、Mirai-Scanner、Hajime-Scanner、DRDOSリフレクターなど、複数のデータフィードを提供しています。 |
| nothink! | SNMP、SSH、Matteo CantoniのハニーポットのTelnetブラックリストIPS |
| Normshieldサービス | Normshield Servicesは、潜在的なフィッシング攻撃が由来する可能性のある数千のドメイン情報(WHOIS情報を含む)を提供します。ブリーチおよびブラックリストサービスも利用できます。継続的な監視のための公共サービスへの無料サインアップがあります。 |
| ノバセンスの脅威 | NovasenseはSnapt Threat Intelligence Centerであり、先制的な脅威保護と攻撃緩和のための洞察とツールを提供します。 Novasenseは、攻撃者、虐待、ボットネット、DOS攻撃などから、あらゆるサイズのクライアントを保護します。 |
| 閉塞 | サイバーセキュリティチームのRSSリーダー。すべてのブログを構造化された実行可能な脅威インテリジェンスに変えます。 |
| オープンフィッシュフィード | OpenPhishは、複数のストリームからURLを受信し、独自のフィッシング検出アルゴリズムを使用してそれらを分析します。無料の商業用品があります。 |
| 0xsi_f33d | ポルトガルのサイバースペース内のブラックリストに登録されたIPSを使用した可能性のあるフィッシングおよびマルウェアドメインを検出するための無料サービス。 |
| フィシュタンク | Phishtankは、フィッシングURLの疑いのリストを提供します。彼らのデータは人間の報告から来ていますが、可能な限り外部フィードを摂取します。これは無料のサービスですが、APIキーに登録する必要がある場合があります。 |
| pickupstix | PickupStixは、無料、オープンソース、および非営利のサイバー脅威インテリジェンスのフィードです。現在、PickupStixは3つのパブリックフィードを使用しており、毎日約100個の新しいインテリジェンスを配布しています。 PickupStixは、さまざまなフィードをSTIXに変換し、任意のTaxiiサーバーと通信できます。データは自由に使用でき、サイバー脅威インテリジェンスの使用を開始するのに最適な方法です。 |
| 脅威のインテルフィードを復活させます | [Res] Cureは、Fruxlabs Crackチームが実行する独立した脅威インテリジェンスプロジェクトであり、分散システムの基礎となるアーキテクチャ、脅威インテリジェンスの性質、および脅威インテリジェンスを効率的に収集、保存、消費、配布する方法の理解を高めます。フィードは6時間ごとに生成されます。 |
| RSTクラウドの脅威インテルフィード | 妥協の集約された指標は、複数のオープンおよびコミュニティサポートされたソースから収集および交差したもので、インテリジェンスプラットフォームを使用して強化され、ランク付けされています。 |
| ラトガーズはブラックリストに登録されています | SSHブルートフォース攻撃者のIPリストは、局所的に観察されたIPSとBadip.comおよびBlockList.DEに登録された2時間のIPのマージから作成されます。 |
| 不審なドメインをsans | SANSICSによる疑わしいドメインの脅威リストは、疑わしいドメインを追跡します。高感度、または低感度のいずれかに分類された3つのリストを提供します。高感度リストの誤検知は少なくなりますが、低感度リストはより誤検知しています。ドメインの承認されたホワイトリストもあります。 最後に、dshieldから提案されたIPブロックリストがあります。 |
| SecurityScoreCard IOCS | 技術ブログからのパブリックアクセスIOCは、SecurityScorecardによる投稿とレポート。 |
| stixify | 自動脅威インテリジェンスアナリスト。非構造化データから機械の読み取り可能なインテリジェンスを抽出します。 |
| 署名ベース | NEO23X0が他のツールで使用する署名のデータベース。 |
| Spamhausプロジェクト | Spamhausプロジェクトには、スパムおよびマルウェアアクティビティに関連する複数の脅威リストが含まれています。 |
| Sophoslabs Intelix | Sophoslabs Intelixは、Sophos製品とパートナーを強化する脅威インテリジェンスプラットフォームです。ファイルハッシュ、URLなどに基づいてインテリジェンスにアクセスし、分析のためにサンプルを送信できます。 REST APIを使用すると、この脅威インテリジェンスをシステムに簡単かつすばやく追加できます。 |
| 拍車 | Spurは、VPN、住宅委員、ボットを検出するためのツールとデータを提供します。無料プランを使用すると、ユーザーはIPを検索して、分類、VPNプロバイダー、IPの背後にある人気のあるジオロケーション、およびより便利なコンテキストを取得できます。 |
| SSLブラックリスト | SSLブラックリスト(SSLBL)は、Aubsion.Chによって維持されるプロジェクトです。目標は、Aubsion.chによって特定された「悪い」SSL証明書のリストを提供することです。 SSLBLは、悪意のあるSSL証明書のSHA1指紋に依存しており、さまざまなブラックリストを提供しています |
| Statvooトップ100万のサイト | Statvooでランク付けされている上位100万のWebサイトのホワイトリストの可能性があります。 |
| PercipientネットワークによるStrongArm | StrongArmは、マルウェアコマンドとコントロールをブロックすることにより、妥協の指標にアクションを実行するDNSブラックホールです。 StrongArm Aggregatesフリーインジケーターフィードを集め、商用フィードと統合し、PercipientのIOCフィードを利用し、DNSリゾルバーとAPIを操作して、ネットワークとビジネスを保護するために使用します。 StrongArmは個人的な使用のために無料です。 |
| SIEMルール | 検出エンジニアリングデータベース。脅威の狩猟と検出のためのSIEMルールを表示、変更、展開します。 |
| タロス | Cisco Talos Intelligence Groupは、世界最大の商業脅威インテリジェンスチームの1つであり、世界クラスの研究者、アナリスト、エンジニアで構成されています。これらのチームは、比類のないテレメトリと洗練されたシステムによってサポートされており、シスコの顧客、製品、サービスのための正確で迅速かつ実用的な脅威インテリジェンスを作成します。タロスは、シスコの顧客を既知の新たな脅威から擁護し、共通のソフトウェアの新しい脆弱性を発見し、インターネット全体にさらに害を与える前に野生の脅威を阻止します。 Talosは、多くのオープンソースの研究および分析ツールのリリースに加えて、Snort.org、Clamav、およびSpamcopの公式ルールセットを維持しています。 Talosは、Observableの評判を確認するために、使いやすいWeb UIを提供します。 |
| Threatfeeds.io | threatfeeds.ioは、無料およびオープンソースの脅威インテリジェンスフィードとソースをリストし、直接ダウンロードリンクとライブサマリを提供します。 |
| threatfox.abuse.ch | Threatfoxは、InfoSecコミュニティ、AVベンダー、脅威インテリジェンスプロバイダーとマルウェアに関連する妥協(IOC)の共有を目標とするAubsion.chの無料プラットフォームです。 |
| ThreatConnectによる技術ブログとレポート | このソースには、90を超えるオープンソースのセキュリティブログのコンテンツが入力されています。 IOC(妥協の指標)は各ブログから解析され、ブログのコンテンツはMarkdownでフォーマットされています。 |
| 脅威ジャマー | Threat Jammerは、開発者、セキュリティエンジニア、およびその他のITプロフェッショナルが、さまざまなソースから高品質の脅威インテリジェンスデータにアクセスし、悪意のあるアクティビティを検出およびブロックすることを目的としてアプリケーションに統合できるREST APIサービスです。 |
| 脅威マイナー | ThreatMinerは、データ収集からアナリストを無料で提供し、レポートを読むことからピボットやデータの強化まで、タスクを実行できるポータルを提供するために作成されました。 ThreatMinerの強調は、妥協の指標(IOC)だけでなく、アナリストに彼らが見ているIOCに関連するコンテキスト情報を提供します。 |
| WSTNPHXマルウェアメールアドレス | vvestron Phoronix(WSTNPHX)が収集したマルウェアが使用するメールアドレス |
| underattack.today | UnderAttackは無料のインテリジェンスプラットフォームであり、不審なイベントや攻撃に関するIPSと情報を共有しています。登録は無料です。 |
| urlhaus | Urlhausは、マルウェア分布に使用されている悪意のあるURLを共有することを目的としたAubsion.chのプロジェクトです。 |
| Virusshare | Virusshare.comは、セキュリティ研究者、インシデント対応者、法医学アナリスト、および悪意のあるコードのサンプルへの病的な奇妙なアクセスを提供するためのマルウェアサンプルのリポジトリです。サイトへのアクセスは、招待のみで付与されます。 |
| ヤラ・ルール | 可能な限りコンパイルされ、分類され、最新の状態に保たれているさまざまなヤラの署名を備えたオープンソースリポジトリ。 |
| Mrlooquerによる最初のデュアルスタックの脅威フィード | Mrlooquerは、デュアルスタックを備えたシステムに焦点を当てた最初の脅威フィードを作成しました。 IPv6プロトコルはマルウェアおよび詐欺通信の一部になり始めているため、両方のプロトコル(IPv4とIPv6)の脅威を検出して軽減する必要があります。 |
脅威インテリジェンスを共有するための標準化された形式(ほとんどがIOC)。
| CAPEC | 一般的な攻撃パターンの列挙と分類(CAPEC)は、アナリスト、開発者、テスター、教育者がコミュニティの理解を進め、防御を強化するために使用できる既知の攻撃の包括的な辞書および分類分類法です。 |
| Cybox | サイバー観測可能な式(CYBOX)言語は、エンタープライズのセキュリティの運用領域を越えて、および展開されたツールとプロセスの一貫性、効率、および相互運用性を向上させ、自動化可能な共有、マッピング、検出、分析の可能性を可能にすることにより全体的な状況認識を向上させる、サイバー観測可能性を表すための共通の構造を提供します。 |
| iodef(rfc5070) | インシデントオブジェクト説明Exchange Format(IODEF)は、コンピューターセキュリティインシデントに関するコンピューターセキュリティインシデント対応チーム(CSIRT)によって一般的に交換される情報を共有するためのフレームワークを提供するデータ表現を定義します。 |
| idmef(rfc4765) | 実験- 侵入検知メッセージ交換形式(IDMEF)の目的は、侵入検知と応答システム、およびそれらと対話する必要がある可能性のある管理システムに関心のある情報を共有するためのデータ形式と交換手順を定義することです。 |
| Maec | マルウェア属性の列挙と特性評価(MAEC)プロジェクトは、動作、アーティファクト、攻撃パターンなどの属性に基づいて、マルウェアに関する構造化された情報を共有するための標準化された言語を作成および提供することを目的としています。 |
| openc2 | Oasis Open Command and Control(Openc2)技術委員会。 Openc2 TCは、Openc2フォーラムによって生成されたアーティファクトに基づいてその努力をします。このTCと仕様の作成前は、OPENC2フォーラムは、国家安全保障局(NSA)によって促進されたサイバーセキュリティの利害関係者のコミュニティでした。 OpenC2 TCは、標準化された方法でサイバーセキュリティコマンドとコントロールのニーズを満たすために、ドキュメント、仕様、レキシコン、またはその他のアーティファクトをドラフトするようにチャーターされました。 |
| STIX 2.0 | 構造化された脅威情報式(STIX)言語は、サイバー脅威情報を表すための標準化された構造です。 STIX言語は、潜在的なサイバー脅威情報の全範囲を伝えるつもりであり、完全に表現力があり、柔軟で、拡張可能で、自動化されるように努めています。 STIXは、ツールに依存しないフィールドを許可するだけでなく、Openioc、Yara、Snortなどのツール固有の要素を埋め込む手段を提供するいわゆるテストメカニズムも提供します。 Stix 1.xはここでアーカイブされています。 |
| タクシー | 信頼できる自動化されたインジケーター情報(TAXII)標準は、実装されたときに、組織および製品/サービスの境界を越えて実行可能なサイバー脅威情報の共有を可能にする一連のサービスとメッセージ交換を定義します。 Taxiiは、サイバー脅威の検出、予防、および緩和のためにサイバー脅威情報を交換するために、概念、プロトコル、およびメッセージ交換を定義します。 |
| veris | イベント記録とインシデント共有(Veris)の語彙は、構造化された繰り返し可能な方法でセキュリティインシデントを説明するための共通言語を提供するように設計された一連のメトリックです。 Verisは、セキュリティ業界で最も重要で永続的な課題の1つである質の高い情報の欠如に対する対応です。構造化された形式の提供に加えて、Verisはコミュニティからデータを収集して、Verizon Data Brace Investigations Report(DBIR)の違反について報告し、GitHub Repository.orgでこのデータベースをオンラインで公開します。 |
脅威インテリジェンスを収集、分析、作成、共有するためのフレームワーク、プラットフォーム、およびサービス。
| AubsionHelper | AubsionHelperは、乱用フィードと脅威のインテルを受け取って再配布するためのオープンソースのフレームワークです。 |
| Aubsionio | エンドユーザーに乱用レポートについて受信、処理、相関、通知を受け、脅威インテリジェンスフィードを消費するツールキット。 |
| AIS | サイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)無料の自動インジケーター共有(AIS)機能により、機械速度で連邦政府と民間部門の間のサイバー脅威指標の交換が可能になります。脅威の指標は、悪意のあるIPアドレスやフィッシングメールの送信者アドレスなどの情報です(ただし、はるかに複雑になる可能性があります)。 |
| ひげを生やしたアベンジャー | 脅威インテリジェンスを消費する最速の方法。 CIFの後継者。 |
| Blueliv Threat Exchange Network | 参加者は、脅威指標をコミュニティと共有できるようにします。 |
| 皮質 | Cortexを使用すると、IPS、電子メールアドレス、URL、ドメイン名、ファイル、またはハッシュなどの観測可能性を使用して、単一のWebインターフェイスを使用して1つまたはバルクモードで分析できます。 Webインターフェイスは、多数の分析装置のフロントエンドとして機能し、分析中にこれらを統合する必要性を削除します。アナリストは、Cortex Rest APIを使用して、分析の一部を自動化することもできます。 |
| CRITS | Critsは、アナリストにマルウェアと脅威に関する共同研究を実施する手段を提供するプラットフォームです。集中インテリジェンスデータリポジトリに接続しますが、プライベートインスタンスとしても使用できます。 |
| CIF | Collective Intelligence Framework(CIF)を使用すると、多くのソースからの既知の悪意のある脅威情報を組み合わせて、IR、検出、緩和にその情報を使用できます。 githubで利用可能なコード。 |
| ctix | CTIXは、信頼できるネットワーク内の脅威データの摂取、濃縮、分析、および双方向の共有のためのスマートなクライアントサーバー脅威インテリジェンスプラットフォーム(TIP)です。 |
| eclecticiqプラットフォーム | EclecticIQプラットフォームは、脅威アナリストが機械速でインテリジェンスを広めながらより速く、より良く、より深い調査を実行できるようにするSTIX/TAXIIベースの脅威インテリジェンスプラットフォーム(TIP)です。 |
| Intelmq | IntelMQは、メッセージキュープロトコルを使用して、セキュリティフィード、パスペ、ツイートを収集および処理するための証明書のソリューションです。これは、IHAP(インシデントハンドリングオートメーションプロジェクト)と呼ばれるコミュニティ主導のイニシアチブであり、いくつかのINFOSECイベント中にヨーロッパの証明書によって概念的に設計されました。その主な目標は、脅威インテリジェンスを収集および処理する簡単な方法をインシデントレスポンダーに提供することで、証明書のインシデント処理プロセスを改善することです。 |
| Intelowl | Intel Owlは、特定のファイル、IP、または大規模なAPIのドメインに関する脅威インテリジェンスデータを取得するOSINTソリューションです。 Intel Owlは、外部ソース(VirustotalやAubsipDBなど)からデータを取得するか、内部アナライザー(Yaraやoletoolsなど)からIntelを生成するために実行できるアナライザーで構成されています。たとえば、SOCアナリストによって通常実行される一般的なジョブを自動化するために、セキュリティツール(Pyintelowl)のスタックに簡単に統合できます。 |
| Kaspersky脅威インテリジェンスポータル | サイバーの脅威、合法的なオブジェクト、およびその関係を説明する知識ベースを提供するウェブサイトは、単一のWebサービスにまとめられました。 Kaspersky LabのThreat Intelligence Portalを購読すると、Kasperskyの脅威データフィード、脅威インテリジェンスレポート、Kasperskyの脅威の検索、Kaspersky Research Sandboxの4つの補完的なサービスへの単一のエントリポイントがあります。 |
| マルストロム | Malstromは、脅威追跡と法医学的アーティファクトのリポジトリになることを目指していますが、調査のためにYaraのルールとメモを保存します。注:GitHubプロジェクトはアーカイブされています(新しい貢献は受け入れられません)。 |
| マナティ | Manatiプロジェクトは、新しい関係や推論を自動的に見つける機械学習技術を採用することにより、脅威アナリストを支援します。 |
| マンティス | 脅威インテリジェンスソース(Mantis)のモデルベースの分析(Mantis)サイバー脅威インテリジェンス管理フレームワークは、STIXやCyboxなどのさまざまな標準言語で表現されるサイバー脅威インテリジェンスの管理をサポートしています。ただし、大規模な生産の準備ができていません。 |
| メガトロン | Megatronは、悪いIPSを収集および分析するCERT-SEによって実装されたツールであり、統計を計算し、ログファイルを変換および分析し、乱用とインシデント処理で使用できます。 |
| ミネメルド | 拡張可能な脅威インテリジェンス処理フレームワークがPalo Alto Networksを作成しました。これは、インジケーターのリストを操作し、サードパーティの執行インフラストラクチャによる消費のためにそれらを変換および/または集約するために使用できます。 |
| MISP | マルウェア情報共有プラットフォーム(MISP)は、サイバーセキュリティインジケーターとマルウェア分析の収集、保存、配布、共有のためのオープンソースソフトウェアソリューションです。 |
| N6 | N6(ネットワークセキュリティインシデントエクスチェンジ)は、セキュリティ情報を大規模に収集、管理、配布するシステムです。分布は、単純なREST APIと、認定ユーザーがさまざまな種類のデータ、特にネットワーク内の脅威やインシデントに関する情報を受信するために使用できるWebインターフェイスを通じて実現されます。 Cert Polskaによって開発されました。 |
| OpenCti | オープンサイバー脅威インテリジェンスプラットフォームであるOpenCtiは、組織がサイバー脅威インテリジェンスの知識と観測可能性を管理できるようにします。その目標は、サイバーの脅威に関する技術的および非技術的な情報を構成、保存、整理、視覚化することです。データは、STIX2標準に基づいた知識スキーマを中心に構成されています。 OpenCtiは、MISP、TheHive、Miter ATT&CK、AOなど、他のツールやプラットフォームと統合できます。 |
| openioc | Openiocは、脅威インテリジェンスを共有するためのオープンなフレームワークです。これは、脅威情報を内部と外部の両方で機械を消化可能な形式で交換するように設計されています。 |
| opentaxii | Opentaxiiは、豊富な機能セットと、適切に設計されたアプリケーションの上に構築されたフレンドリーなPythonic APIを提供するTaxiiサービスの堅牢なPython実装です。 |
| オストリカ | 脅威インテリジェンス情報を収集および視覚化するためのオープンソースプラグイン指向のフレームワーク。 |
| OTX-オープン脅威交換 | AlienVault Open Threat Exchange(OTX)は、脅威研究者とセキュリティの専門家のグローバルコミュニティへのオープンアクセスを提供します。コミュニティで生成された脅威データを提供し、共同研究を可能にし、あらゆるソースからの脅威データでセキュリティインフラストラクチャを更新するプロセスを自動化します。 |
| オープン脅威パートナー交換 | Open Threat Partner Exchange(OpenTPX)は、機械読み取り可能な脅威インテリジェンスとネットワークセキュリティ操作データを交換するためのオープンソース形式とツールで構成されています。これは、接続されたシステム間でデータを共有できるJSONベースの形式です。 |
| パッシベトタル | Riskiqが提供するPassivetotalプラットフォームは、攻撃が発生する前に攻撃を防ぐために、アナリストにできるだけ多くのデータを提供する脅威分析プラットフォームです。他のシステムとの統合(API)と同様に、いくつかのタイプのソリューションが提供されています。 |
| 脈動 | Pulsediveは、オープンソースフィードを消費し、IOCを濃縮し、リスクスコアリングアルゴリズムを介してデータの品質を向上させる無料のコミュニティ脅威インテリジェンスプラットフォームです。これにより、ユーザーはIOCを送信、検索、相関、および更新できます。 IOCがより高いリスクである理由の「リスク要因」をリストします。 and provides a high level view of threats and threat activity. |
| Recorded Future | Recorded Future is a premium SaaS product that automatically unifies threat intelligence from open, closed, and technical sources into a single solution. Their technology uses natural language processing (NLP) and machine learning to deliver that threat intelligence in real time — making Recorded Future a popular choice for IT security teams. |
| Scumblr | Scumblr is a web application that allows performing periodic syncs of data sources (such as Github repositories and URLs) and performing analysis (such as static analysis, dynamic checks, and metadata collection) on the identified results. Scumblr helps you streamline proactive security through an intelligent automation framework to help you identify, track, and resolve security issues faster. |
| STAXX (Anomali) | Anomali STAXX™ gives you a free, easy way to subscribe to any STIX/TAXII feed. Simply download the STAXX client, configure your data sources, and STAXX will handle the rest. |
| stoQ | stoQ is a framework that allows cyber analysts to organize and automate repetitive, data-driven tasks. It features plugins for many other systems to interact with. One use case is the extraction of IOCs from documents, an example of which is shown here, but it can also be used for deobfuscationg and decoding of content and automated scanning with YARA, for example. |
| TARDIS | The Threat Analysis, Reconnaissance, and Data Intelligence System (TARDIS) is an open source framework for performing historical searches using attack signatures. |
| ThreatConnect | ThreatConnect is a platform with threat intelligence, analytics, and orchestration capabilities. It is designed to help you collect data, produce intelligence, share it with others, and take action on it. |
| ThreatCrowd | ThreatCrowd is a system for finding and researching artefacts relating to cyber threats. |
| ThreatPipes | Stay two steps ahead of your adversaries. Get a complete picture of how they will exploit you. ThreatPipes is a reconnaissance tool that automatically queries 100's of data sources to gather intelligence on IP addresses, domain names, e-mail addresses, names and more. You simply specify the target you want to investigate, pick which modules to enable and then ThreatPipes will collect data to build up an understanding of all the entities and how they relate to each other. |
| ThreatExchange | Facebook created ThreatExchange so that participating organizations can share threat data using a convenient, structured, and easy-to-use API that provides privacy controls to enable sharing with only desired groups. This project is still in beta . Reference code can be found at GitHub. |
| TypeDB CTI | TypeDB Data - CTI is an open source threat intelligence platform for organisations to store and manage their cyber threat intelligence (CTI) knowledge. It enables threat intel professionals to bring together their disparate CTI information into one database and find new insights about cyber threats. This repository provides a schema that is based on STIX2, and contains MITRE ATT&CK as an example dataset to start exploring this threat intelligence platform. More in this blog post. |
| VirusBay | VirusBay is a web-based, collaboration platform that connects security operations center (SOC) professionals with relevant malware researchers. |
| threatnote.io | The new and improved threatnote.io - A tool for CTI analysts and teams to manage intel requirements, reporting, and CTI processes in an all-in-one platform |
| XFE - X-Force Exchange | The X-Force Exchange (XFE) by IBM XFE is a free SaaS product that you can use to search for threat intelligence information, collect your findings, and share your insights with other members of the XFE community. |
| Yeti | The open, distributed, machine and analyst-friendly threat intelligence repository. Made by and for incident responders. |
All kinds of tools for parsing, creating and editing Threat Intelligence. Mostly IOC based.
| ActorTrackr | ActorTrackr is an open source web application for storing/searching/linking actor related data. The primary sources are from users and various public repositories. Source available on GitHub. |
| AIEngine | AIEngine is a next generation interactive/programmable Python/Ruby/Java/Lua packet inspection engine with capabilities of learning without any human intervention, NIDS(Network Intrusion Detection System) functionality, DNS domain classification, network collector, network forensics and many others. |
| AIOCRIOC | Artificial Intelligence Ocular Character Recognition Indicator of Compromise (AIOCRIOC) is a tool that combines web scraping, the OCR capabilities of Tesseract and OpenAI compatible LLM API's such as GPT-4 to parse and extract IOCs from reports and other web content including embedded images with contextual data. |
| Analyze (Intezer) | Analyze is an all-in-one malware analysis platform that is able to perform static, dynamic, and genetic code analysis on all types of files. Users can track malware families, extract IOCs/MITRE TTPs, and download YARA signatures. There is a community edition to get started for free. |
| Automater | Automater is a URL/Domain, IP Address, and Md5 Hash OSINT tool aimed at making the analysis process easier for intrusion Analysts. |
| BlueBox | BlueBox is an OSINT solution to get threat intelligence data about a specific file, an IP, a domain or URL and analyze them. |
| BotScout | BotScout helps prevent automated web scripts, known as "bots", from registering on forums, polluting databases, spreading spam, and abusing forms on web sites. |
| bro-intel-generator | Script for generating Bro intel files from pdf or html reports. |
| cabby | A simple Python library for interacting with TAXII servers. |
| cacador | Cacador is a tool written in Go for extracting common indicators of compromise from a block of text. |
| 組み合わせる | Combine gathers Threat Intelligence Feeds from publicly available sources. |
| CrowdFMS | CrowdFMS is a framework for automating collection and processing of samples from VirusTotal, by leveraging the Private API system. The framework automatically downloads recent samples, which triggered an alert on the users YARA notification feed. |
| CyberGordon | CyberGordon is a threat intelligence search engine. It leverages 30+ sources. |
| CyBot | CyBot is a threat intelligence chat bot. It can perform several types of lookups offered by custom modules. |
| Cuckoo Sandbox | Cuckoo Sandbox is an automated dynamic malware analysis system. It's the most well-known open source malware analysis sandbox around and is frequently deployed by researchers, CERT/SOC teams, and threat intelligence teams all around the globe. For many organizations Cuckoo Sandbox provides a first insight into potential malware samples. |
| Fenrir | Simple Bash IOC Scanner. |
| FireHOL IP Aggregator | Application for keeping feeds from FireHOL blocklist-ipsets with IP addresses appearance history. HTTP-based API service is developed for search requests. |
| Forager | Multithreaded threat intelligence hunter-gatherer script. |
| Gigasheet | Gigasheet is a SaaS product used to analyze massive, and disparate cybersecurity data sets. Import massive log files, netflow, pcaps, big CSVs and more. |
| GoatRider | GoatRider is a simple tool that will dynamically pull down Artillery Threat Intelligence Feeds, TOR, AlienVaults OTX, and the Alexa top 1 million websites and do a comparison to a hostname file or IP file. |
| Google APT Search Engine | APT Groups, Operations and Malware Search Engine. The sources used for this Google Custom Search are listed on this GitHub gist. |
| GOSINT | The GOSINT framework is a free project used for collecting, processing, and exporting high quality public indicators of compromise (IOCs). |
| hashdd | A tool to lookup related information from crytographic hash value |
| Harbinger Threat Intelligence | Python script that allows to query multiple online threat aggregators from a single interface. |
| Hippocampe | Hippocampe aggregates threat feeds from the Internet in an Elasticsearch cluster. It has a REST API which allows to search into its 'memory'. It is based on a Python script which fetchs URLs corresponding to feeds, parses and indexes them. |
| Hiryu | A tool to organize APT campaign information and to visualize relations between IOCs. |
| IOC Editor | A free editor for Indicators of Compromise (IOCs). |
| IOC Finder | Python library for finding indicators of compromise in text. Uses grammars rather than regexes for improved comprehensibility. As of February, 2019, it parses over 18 indicator types. |
| IOC Fanger (and Defanger) | Python library for fanging (`hXXp://example[.]com` => `http://example.com`) and defanging (`http://example.com` => `hXXp://example[.]com`) indicators of compromise in text. |
| ioc_parser | Tool to extract indicators of compromise from security reports in PDF format. |
| ioc_writer | Provides a Python library that allows for basic creation and editing of OpenIOC objects. |
| iocextract | Extracts URLs, IP addresses, MD5/SHA hashes, email addresses, and YARA rules from text corpora. Includes some encoded and “defanged” IOCs in the output, and optionally decodes/refangs them. |
| IOCextractor | IOC (Indicator of Compromise) Extractor is a program to help extract IOCs from text files. The general goal is to speed up the process of parsing structured data (IOCs) from unstructured or semi-structured data |
| ibmxforceex.checker.py | Python client for the IBM X-Force Exchange. |
| jager | Jager is a tool for pulling useful IOCs (indicators of compromise) out of various input sources (PDFs for now, plain text really soon, webpages eventually) and putting them into an easy to manipulate JSON format. |
| Kaspersky CyberTrace | Threat intelligence fusion and analysis tool that integrates threat data feeds with SIEM solutions. Users can immediately leverage threat intelligence for security monitoring and incident report (IR) activities in the workflow of their existing security operations. |
| KLara | KLara, a distributed system written in Python, allows researchers to scan one or more Yara rules over collections with samples, getting notifications by e-mail as well as the web interface when scan results are ready. |
| libtaxii | A Python library for handling TAXII Messages invoking TAXII Services. |
| Loki | Simple IOC and Incident Response Scanner. |
| 見上げる | LookUp is a centralized page to get various threat information about an IP address. It can be integrated easily into context menus of tools like SIEMs and other investigative tools. |
| Machinae | Machinae is a tool for collecting intelligence from public sites/feeds about various security-related pieces of data: IP addresses, domain names, URLs, email addresses, file hashes and SSL fingerprints. |
| MalPipe | Amodular malware (and indicator) collection and processing framework. It is designed to pull malware, domains, URLs and IP addresses from multiple feeds, enrich the collected data and export the results. |
| MISP Workbench | Tools to export data out of the MISP MySQL database and use and abuse them outside of this platform. |
| MISP-Taxii-Server | A set of configuration files to use with EclecticIQ's OpenTAXII implementation, along with a callback for when data is sent to the TAXII Server's inbox. |
| MSTIC Jupyter and Python Security Tools | msticpy is a library for InfoSec investigation and hunting in Jupyter Notebooks. |
| nyx | The goal of this project is to facilitate distribution of Threat Intelligence artifacts to defensive systems and to enhance the value derived from both open source and commercial tools. |
| OneMillion | Python library to determine if a domain is in the Alexa or Cisco top, one million domain lists. |
| openioc-to-stix | Generate STIX XML from OpenIOC XML. |
| オムニバス | Omnibus is an interactive command line application for collecting and managing IOCs/artifacts (IPs, Domains, Email Addresses, Usernames, and Bitcoin Addresses), enriching these artifacts with OSINT data from public sources, and providing the means to store and access these artifacts in a simple way. |
| OSTIP | A homebrew threat data platform. |
| poortego | Open-source project to handle the storage and linking of open-source intelligence (ala Maltego, but free as in beer and not tied to a specific / proprietary database). Originally developed in ruby, but new codebase completely rewritten in python. |
| PyIOCe | PyIOCe is an IOC editor written in Python. |
| QRadio | QRadio is a tool/framework designed to consolidate cyber threats intelligence sources. The goal of the project is to establish a robust modular framework for extraction of intelligence data from vetted sources. |
| rastrea2r | Collecting & Hunting for Indicators of Compromise (IOC) with gusto and style! |
| Redline | A host investigations tool that can be used for, amongst others, IOC analysis. |
| RITA | Real Intelligence Threat Analytics (RITA) is intended to help in the search for indicators of compromise in enterprise networks of varying size. |
| Softrace | Lightweight National Software Reference Library RDS storage. |
| sqhunter | Threat hunter based on osquery, Salt Open and Cymon API. It can query open network sockets and check them against threat intelligence sources |
| SRA TAXII2 Server | Full TAXII 2.0 specification server implemented in Node JS with MongoDB backend. |
| Stixvalidator.com | Stixvalidator.com is an online free STIX and STIX2 validator service. |
| Stixview | Stixview is a JS library for embeddable interactive STIX2 graphs. |
| stix-viz | STIX Visualization Tool. |
| TAXII Test Server | Allows you to test your TAXII environment by connecting to the provided services and performing the different functions as written in the TAXII specifications. |
| threataggregator | ThreatAggregrator aggregates security threats from a number of online sources, and outputs to various formats, including CEF, Snort and IPTables rules. |
| threatcrowd_api | Python Library for ThreatCrowd's API. |
| threatcmd | Cli interface to ThreatCrowd. |
| Threatelligence | Threatelligence is a simple cyber threat intelligence feed collector, using Elasticsearch, Kibana and Python to automatically collect intelligence from custom or public sources. Automatically updates feeds and tries to further enhance data for dashboards. Projects seem to be no longer maintained, however. |
| ThreatIngestor | Flexible, configuration-driven, extensible framework for consuming threat intelligence. ThreatIngestor can watch Twitter, RSS feeds, and other sources, extract meaningful information like C2 IPs/domains and YARA signatures, and send that information to other systems for analysis. |
| ThreatPinch Lookup | An extension for Chrome that creates hover popups on every page for IPv4, MD5, SHA2, and CVEs. It can be used for lookups during threat investigations. |
| ThreatTracker | A Python script designed to monitor and generate alerts on given sets of IOCs indexed by a set of Google Custom Search Engines. |
| threat_intel | Several APIs for Threat Intelligence integrated in a single package. Included are: OpenDNS Investigate, VirusTotal and ShadowServer. |
| Threat-Intelligence-Hunter | TIH is an intelligence tool that helps you in searching for IOCs across multiple openly available security feeds and some well known APIs. The idea behind the tool is to facilitate searching and storing of frequently added IOCs for creating your own local database of indicators. |
| tiq-test | The Threat Intelligence Quotient (TIQ) Test tool provides visualization and statistical analysis of TI feeds. |
| YETI | YETI is a proof-of-concept implementation of TAXII that supports the Inbox, Poll and Discovery services defined by the TAXII Services Specification. |
All kinds of reading material about Threat Intelligence. Includes (scientific) research and whitepapers.
| APT & Cyber Criminal Campaign Collection | Extensive collection of (historic) campaigns. Entries come from various sources. |
| APTnotes | A great collection of sources regarding Advanced Persistent Threats (APTs). These reports usually include strategic and tactical knowledge or advice. |
| ATT&CK | Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) is a model and framework for describing the actions an adversary may take while operating within an enterprise network. ATT&CK is a constantly growing common reference for post-access techniques that brings greater awareness of what actions may be seen during a network intrusion. MITRE is actively working on integrating with related construct, such as CAPEC, STIX and MAEC. |
| Building Threat Hunting Strategies with the Diamond Model | Blogpost by Sergio Caltagirone on how to develop intelligent threat hunting strategies by using the Diamond Model. |
| Cyber Analytics Repository by MITRE | The Cyber Analytics Repository (CAR) is a knowledge base of analytics developed by MITRE based on the Adversary Tactics, Techniques, and Common Knowledge (ATT&CK™) threat model. |
| Cyber Threat Intelligence Capability Maturity Model (CTI-CMM) | A new Cyber Threat Intelligence Capability Maturity Model (CTI-CMM) using a stakeholder-first approach and aligned with the Cybersecurity Capability Maturity Model (C2M2) to empower your team and create lasting value. |
| Cyber Threat Intelligence Repository by MITRE | The Cyber Threat Intelligence Repository of ATT&CK and CAPEC catalogs expressed in STIX 2.0 JSON. |
| Cyber Threat Intelligence: A Product Without a Process? | A research paper describing how current cyber threat intelligence products fall short and how they can be improved by introducing and evaluating sound methodologies and processes. |
| Definitive Guide to Cyber Threat Intelligence | Describes the elements of cyber threat intelligence and discusses how it is collected, analyzed, and used by a variety of human and technology consumers. Further examines how intelligence can improve cybersecurity at tactical, operational, and strategic levels, and how it can help you stop attacks sooner, improve your defenses, and talk more productively about cybersecurity issues with executive management in typical for Dummies style. |
| The Detection Maturity Level (DML) | The DML model is a capability maturity model for referencing ones maturity in detecting cyber attacks. It's designed for organizations who perform intel-driven detection and response and who put an emphasis on having a mature detection program. The maturity of an organization is not measured by it's ability to merely obtain relevant intelligence, but rather it's capacity to apply that intelligence effectively to detection and response functions. |
| The Diamond Model of Intrusion Analysis | This paper presents the Diamond Model, a cognitive framework and analytic instrument to support and improve intrusion analysis. Supporting increased measurability, testability and repeatability in intrusion analysis in order to attain higher effectivity, efficiency and accuracy in defeating adversaries is one of its main contributions. |
| The Targeting Process: D3A and F3EAD | F3EAD is a military methodology for combining operations and intelligence. |
| Guide to Cyber Threat Information Sharing by NIST | The Guide to Cyber Threat Information Sharing (NIST Special Publication 800-150) assists organizations in establishing computer security incident response capabilities that leverage the collective knowledge, experience, and abilities of their partners by actively sharing threat intelligence and ongoing coordination. The guide provides guidelines for coordinated incident handling, including producing and consuming data, participating in information sharing communities, and protecting incident-related data. |
| Intelligence Preparation of the Battlefield/Battlespace | This publication discusses intelligence preparation of the battlespace (IPB) as a critical component of the military decision making and planning process and how IPB supports decision making, as well as integrating processes and continuing activities. |
| Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains | The intrusion kill chain as presented in this paper provides one with a structured approach to intrusion analysis, indicator extraction and performing defensive actions. |
| ISAO Standards Organization | The ISAO Standards Organization is a non-governmental organization established on October 1, 2015. Its mission is to improve the Nation's cybersecurity posture by identifying standards and guidelines for robust and effective information sharing related to cybersecurity risks, incidents, and best practices. |
| Joint Publication 2-0: Joint Intelligence | This publication by the US army forms the core of joint intelligence doctrine and lays the foundation to fully integrate operations, plans and intelligence into a cohesive team. The concepts presented are applicable to (Cyber) Threat Intelligence too. |
| Microsoft Research Paper | A framework for cybersecurity information sharing and risk reduction. A high level overview paper by Microsoft. |
| MISP Core Format (draft) | This document describes the MISP core format used to exchange indicators and threat information between MISP (Malware Information and threat Sharing Platform) instances. |
| NECOMA Project | The Nippon-European Cyberdefense-Oriented Multilayer threat Analysis (NECOMA) research project is aimed at improving threat data collection and analysis to develop and demonstratie new cyberdefense mechanisms. As part of the project several publications and software projects have been published. |
| Pyramid of Pain | The Pyramid of Pain is a graphical way to express the difficulty of obtaining different levels of indicators and the amount of resources adversaries have to expend when obtained by defenders. |
| Structured Analytic Techniques For Intelligence Analysis | This book contains methods that represent the most current best practices in intelligence, law enforcement, homeland security, and business analysis. |
| Threat Intelligence: Collecting, Analysing, Evaluating | This report by MWR InfoSecurity clearly describes several different types of threat intelligence, including strategic, tactical and operational variations. It also discusses the processes of requirements elicitation, collection, analysis, production and evaluation of threat intelligence. Also included are some quick wins and a maturity model for each of the types of threat intelligence defined by MWR InfoSecurity. |
| Threat Intelligence Sharing Platforms: An Exploratory Study of Software Vendors and Research Perspectives | A systematic study of 22 Threat Intelligence Sharing Platforms (TISP) surfacing eight key findings about the current state of threat intelligence usage, its definition and TISPs. |
| Traffic Light Protocol | The Traffic Light Protocol (TLP) is a set of designations used to ensure that sensitive information is shared with the correct audience. It employs four colors to indicate different degrees of sensitivity and the corresponding sharing considerations to be applied by the recipient(s). |
| Unit42 Playbook Viewer | The goal of the Playbook is to organize the tools, techniques, and procedures that an adversary uses into a structured format, which can be shared with others, and built upon. The frameworks used to structure and share the adversary playbooks are MITRE's ATT&CK Framework and STIX 2.0 |
| Who's Using Cyberthreat Intelligence and How? | A whitepaper by the SANS Institute describing the usage of Threat Intelligence including a survey that was performed. |
| WOMBAT Project | The WOMBAT project aims at providing new means to understand the existing and emerging threats that are targeting the Internet economy and the net citizens. To reach this goal, the proposal includes three key workpackages: (i) real time gathering of a diverse set of security related raw data, (ii) enrichment of this input by means of various analysis techniques, and (iii) root cause identification and understanding of the phenomena under scrutiny. |
Licensed under Apache License 2.0.
