awesome threat intelligence 다운로드 - awesome threat intelligence 소스 코드 다운로드

굉장한 위협 지능

멋진 위협 인텔리전스 리소스의 선별 된 목록

위협 지능에 대한 간결한 정의 : 상황, 메커니즘, 지표, 시사점 및 실행 가능한 조언을 포함한 증거 기반 지식, 기존 또는 신흥 위협 또는 해당 위협 또는 위험에 대한 피험자의 응답에 관한 결정을 알리는 데 사용될 수있는 자산에 대한 위험에 대한 위험에 대한 지식 .

자유롭게 기여하십시오.

출처
형식
프레임 워크 및 플랫폼
도구
연구, 표준 및 서적

출처

아래에 나열된 대부분의 리소스는 위협과 관련하여 최신 정보를 얻을 목록 및/또는 API를 제공합니다. 일부는 이러한 출처를 위협 지능으로 간주하지만 의견은 다릅니다. 진정한 위협 인텔리전스를 만들려면 일정량의 (도메인 또는 비즈니스 별) 분석이 필요합니다.

학대	AbuseIPDB는 인터넷에서 해커, 스패머 및 학대 활동의 확산에 대항하는 데 도움이되는 프로젝트입니다. 웹 마스터, 시스템 관리자 및 기타 이해 관계자에게 중앙 블랙리스트를 제공하여 온라인으로 악의적 인 활동과 관련된 IP 주소를보고하고 찾아서 웹을 더 안전하게 만드는 것이 임무입니다.
Alexa Top Top 1 백만 사이트	아마존 (Alexa)의 상위 1 백만 사이트. 이것을 화이트리스트로 사용하지 마십시오.
적절한 그룹과 운영	APT 그룹, 운영 및 전술에 대한 정보 및 인텔리전스가 포함 된 스프레드 시트.
이진 방어 IP 밴드리스트	이진 방어 시스템 포병 위협 인텔리전스 피드 및 IP 밴리스트 피드.
BGP 순위	가장 악의적 인 콘텐츠를 가진 ASN의 순위.
봇넷 추적기	여러 활성 봇넷을 추적합니다.
botvrij.eu	Botvrij.eu는 보안 장치에서 사용할 수있는 다양한 오픈 소스 IOC 세트를 제공하여 악의적 인 활동을 감지합니다.
BruteforceBlocker	BruteforceBlocker는 서버의 SSHD 로그를 모니터링하고 Brute Force 공격을 식별하는 Perl 스크립트로, 방화벽 차단 규칙을 자동으로 구성하고 해당 IPS를 프로젝트 사이트 http://danger.rulez.sk/projects/bruteforceblocker/blist.phpp에 제출하는 데 사용합니다.
C & C 추적기	Bambenek Consulting에서 알려진 활성 및 비 싱크 홀 C & C IP 주소의 피드. 상업용 사용을위한 라이센스가 필요합니다.
CertStream	실시간 인증서 투명성 로그 업데이트 스트림. 실시간으로 발행 된 SSL 인증서를 참조하십시오.
CCSS 포럼 맬웨어 인증서	다음은 포럼에서 다양한 인증서 당국과 관련이있을 수 있다고 포럼에서보고 한 디지털 인증서 목록입니다. 이 정보는 회사가 디지털 인증서를 사용하여 맬웨어에 정당성을 추가하고 그러한 인증서의 신속한 취소를 장려하는 데 도움이됩니다.
CI 군대 목록	상업용 CINS 점수 목록의 하위 집합은 현재 다른 위협 명단에 존재하지 않는 잘못된 등급 IP에 중점을 두었습니다.
시스코 우산	Cisco Umbrella (Opendns)가 해결 한 상위 1 백만 사이트의 가능한 화이트리스트.
Cloudmersive 바이러스 스캔	CloudMersive 바이러스 스캔 APIS 스캔 파일, URL 및 바이러스 용 클라우드 스토리지. 수백만 건의 위협과 고급 고성능 스캐닝 기능에 대한 서명을 지속적으로 업데이트합니다. 서비스는 무료이지만 개인 API 키를 검색하기 위해 계정을 등록해야합니다.
Crowdsec 콘솔	Crowdsec 덕분에 차세대, 오픈 소스, 무료 및 협업 IDS/IPS 소프트웨어 덕분에 거의 실시간으로 업데이트 된 가장 큰 크라우드 소스 CTI. Crowdsec은 방문자 행동을 분석하고 모든 종류의 공격에 대한 적응 된 응답을 제공 할 수 있습니다. 사용자는 위협에 대한 경고를 커뮤니티와 공유하고 네트워크 효과의 혜택을받을 수 있습니다. IP 주소는 실제 공격에서 수집되며 Honeypot 네트워크에서만 독점적으로 나오지 않습니다.
사이버 치료 자유 지능 사료	Cyber Cure는 현재 감염되어 인터넷을 공격하는 IP 주소 목록이있는 무료 사이버 위협 인텔리전스 피드를 제공합니다. 맬웨어에서 사용하는 URL 목록과 현재 퍼지는 알려진 맬웨어의 해시 파일 목록이 있습니다. Cybercure는 센서를 사용하여 매우 낮은 오 탐지율로 지능을 수집하고 있습니다. 자세한 문서도 제공됩니다.
사이웨어 위협 인텔리전스 피드	Cyware의 위협 인텔리전스 피드는 광범위한 개방적이고 신뢰할 수있는 소스의 귀중한 위협 데이터를 제공하여 귀중하고 실행 가능한 위협 인텔리전스의 통합 스트림을 제공합니다. 당사의 위협 인텔 피드는 STIX 1.X 및 2.0과 완전히 호환되므로 악성 맬웨어 해시, IP 및 도메인에 대한 최신 정보를 전 세계에서 실시간으로 제공합니다.
dataplane.org	Dataplane.org는 운영자가 운영자를위한 커뮤니티 구동 인터넷 데이터, 피드 및 측정 리소스입니다. 우리는 무료로 신뢰할 수 있고 신뢰할 수있는 서비스를 제공합니다.
focsec.com	focsec.com은 VPN, 프록시, 봇 및 TOR 요청을 감지하기위한 API를 제공합니다. 항상 최신 데이터는 의심스러운 로그인, 사기 및 남용을 감지하는 데 도움이됩니다. 코드 예제는 문서에서 찾을 수 있습니다.
디지털 사이드 위협 인텔	주로 맬웨어 분석 및 손상된 URL, IP 및 도메인을 기반으로 한 오픈 소스 사이버 위협 인텔리전스 지표 세트가 포함되어 있습니다. 이 프로젝트의 목적은 최소한의 노력으로 SOC/CSIRT/CERT/개인이 사용할 관련 IOC를 사냥, 분석, 수집 및 공유하는 새로운 방법을 개발하고 테스트하는 것입니다. 보고서는 STIX2, CSV 및 MISP 피드의 세 가지 방법으로 공유됩니다. 보고서는 프로젝트의 git 저장소에도 게시됩니다.
일회용 이메일 도메인	서비스 스팸/남용에 일반적으로 사용되는 익명 또는 일회용 이메일 도메인 모음.
DNS 트레일	현재 및 역사적 DNS 정보, WHOIS 정보, 특정 IPS, 하위 도메인 지식 및 기술과 관련된 다른 웹 사이트를 찾는 무료 정보 소스. IP 및 도메인 인텔리전스 API도 사용 가능합니다.
새로운 위협 방화벽 규칙	iptables, pf 및 pix를 포함한 여러 유형의 방화벽에 대한 규칙 모음.
신흥 위협 IDS 규칙	Snort 및 Suricata의 모음은 경고 또는 차단에 사용할 수있는 파일을 규칙합니다 .
엑소너레이터	Exonerator Service는 TOR 네트워크의 일부인 IP 주소 데이터베이스를 유지합니다. 주어진 날짜에 주어진 IP 주소에서 Tor 릴레이가 실행되었는지 여부에 대한 질문에 답변합니다.
Exploitalert	최신 익스플로잇 목록이 출시되었습니다.
빠른 인터셉트	Intercept Security는 Global Honeypot 네트워크에서 많은 무료 IP 평판 목록을 호스팅합니다.
제우스 추적기	Feodo 추적기 남용 .CH는 Feodo Trojan을 추적합니다.
Firehol IP 목록	400 개 이상의 공개적으로 이용 가능한 IP 피드가 분석, IPS, IPS의 연령, 유지 정책, 중복을 문서화했습니다. 이 사이트는 사이버 범죄 (공격, 남용, 맬웨어)에 중점을 둡니다.
사기 행위	Fraudguard는 실시간 인터넷 트래픽을 지속적으로 수집하고 분석하여 사용량을 쉽게 검증 할 수있는 방법을 제공하도록 설계된 서비스입니다.
그레이 노이즈	Greynoise는 인터넷 전체의 스캔 활동에 대한 데이터를 수집하고 분석합니다. SSH 및 Telnet Worms와 같은 악의적 인 배우뿐만 아니라 Shodan.io와 같은 양성 스캐너에 대한 데이터를 수집합니다.
꿀벌	Honeydb는 Honeypot 활동의 실시간 데이터를 제공합니다. 이 데이터는 Honeypy Honeypot을 사용하여 인터넷에 배포 된 허니 팟에서 제공됩니다. 또한 HoneydB는 수집 된 Honeypot 활동에 대한 API 액세스를 제공하며, 여기에는 다양한 Honeypot Twitter 피드의 집계 데이터가 포함됩니다.
빙수	12,805 Project Icewater가 만든 무료 야라 규칙.
infosec -cert -pa	맬웨어 샘플 수집 및 분석, 블록리스트 서비스, 취약점 데이터베이스 등 Cert-Pa가 작성하고 관리합니다.
조사 실험실	보안 연구원을위한 개방형, 대화식 및 API 중심 데이터 포털. 파일 샘플의 대량 코퍼스, 평판 정보 집계 및 공개 소스에서 추출한 IOC를 검색하십시오. 트리거를 생성하고 혼합 된 육각을 처리하며 Base64 호환 정규 표현식을 생성하기위한 툴링으로 야라 개발을 보강하십시오.
i- 블록리스트	I-BlockList는 다양한 범주에 속하는 IP 주소를 포함하는 여러 유형의 목록을 유지 관리합니다. 이러한 주요 범주에는 국가, ISP 및 조직이 포함됩니다. 다른 목록에는 웹 공격, Tor, Spyware 및 Proxies가 있습니다. 많은 사람들이 자유롭게 사용할 수 있으며 다양한 형식으로 제공됩니다.
ipsum	ipsum은 의심스럽고/또는 악의적 인 IP 주소의 30 개 이상의 공개 목록을 기반으로하는 위협 인텔리전스 피드입니다. 모든 목록은 매일 (24 시간) 기준으로 자동으로 검색되고 구문 분석되며 최종 결과는이 저장소로 푸시됩니다. 목록은 총 (각각의 검은 색) 목록 발생 (각각)과 함께 IP 주소로 만들어집니다. Miroslav Stampar가 제작하고 관리합니다.
제임스 소금물 위협 지능 피드	JamesBrine은 클라우드의 국제적으로 위치한 허니 팟 및 SSH, FTP, RDP, GIT, SNMP 및 REDIS를 포함한 다양한 프로토콜을 다루는 개인 인프라의 악성 IP 주소에 대한 일일 위협 인텔리전스 피드를 제공합니다. 전날의 IOC는 STIX2 및 피싱 캠페인에서 사용이 높은 수호성이 높은 의심스러운 URI 및 새로 등록 된 도메인과 같은 추가 IOC에서 구입할 수 있습니다.
카스퍼 스키 위협 데이터 피드	지속적으로 업데이트하고 비즈니스 또는 고객에게 사이버 위협과 관련된 위험과 영향에 대해 알리십시오. 실시간 데이터는 위협을보다 효과적으로 완화하고 발사되기 전에도 공격을 방어하는 데 도움이됩니다. 데모 데이터 피드에는 상업용 IOC 세트 (최대 1%)가 포함되어 있습니다.
장엄한 백만	Majestic에 의해 순위가 매겨진 상위 1 백만 개의 웹 사이트의 가능한 화이트리스트. 사이트는 참조 서브넷 수에 의해 주문됩니다. 순위에 대한 자세한 내용은 블로그에서 찾을 수 있습니다.
MALDATABASE	Maldatabase는 맬웨어 데이터 과학 및 위협 인텔리전스 피드를 돕도록 설계되었습니다. 제공된 데이터는 다른 필드 중에서 접촉 한 도메인, 실행 된 프로세스 목록 및 각 샘플별로 삭제 된 파일에 대한 좋은 정보가 포함되어 있습니다. 이 피드를 사용하면 모니터링 및 보안 도구를 개선 할 수 있습니다. 보안 연구원과 학생들은 무료 서비스를 이용할 수 있습니다.
말 페디아	Malpedia의 주요 목표는 맬웨어를 조사 할 때 빠른 식별 및 실행 가능한 상황을위한 리소스를 제공하는 것입니다. 선별 된 기부금에 대한 개방성은 의미 있고 재현 가능한 연구를 촉진하기 위해 책임있는 수준의 품질을 보장해야합니다.
malshare.com	Malshare Project는 연구원에게 샘플에 대한 무료 액세스를 제공하는 공개 맬웨어 저장소입니다.
MARTIVERSE	Maltiverse Project는 복잡한 쿼리를 만들 수있는 크고 풍부한 IOC 데이터베이스로, 맬웨어 캠페인 및 인프라에 대해 조사하기위한 집계입니다. 또한 훌륭한 IOC 벌크 쿼리 서비스가 있습니다.
Malwarebazaar	Malwarebazaar는 ABUSE.CH의 프로젝트로, alfosec 커뮤니티, AV 공급 업체 및 위협 인텔리전스 제공 업체와 맬웨어 샘플을 공유하려는 목표입니다.
맬웨어 도메인 목록	리버스 조회를 수행하고 피싱, 트로이 목마 및 익스플로잇 키트에 중점을 둔 등록자를 나열하는 악성 도메인의 검색 가능한 목록.
맬웨어 순찰	맬웨어 순찰은 모든 규모의 회사에 블록 목록, 데이터 피드 및 위협 인텔리전스를 제공합니다. 우리의 전문 분야는 사이버 위협 지능이기 때문에 모든 자원이 가능한 최고 품질인지 확인합니다. 우리는 보안 팀과 도구가 사용 된 데이터만큼 우수하다고 생각합니다. 이것은 우리의 피드에 긁힌 비정상적인 지표로 가득 차 있지 않음을 의미합니다. 우리는 수량보다 품질을 중요하게 생각합니다.
Malware-Traffic-analysis.net	이 블로그는 맬웨어 감염과 관련된 네트워크 트래픽에 중점을 둡니다. 트래픽 분석 연습, 튜토리얼, 맬웨어 샘플, 악성 네트워크 트래픽의 PCAP 파일 및 관찰 기능이 포함 된 기술 블로그 게시물이 포함되어 있습니다.
malwaredomains.com	DNS-BH 프로젝트는 맬웨어 및 스파이웨어를 전파하는 데 사용되는 것으로 알려진 도메인 목록을 작성하고 유지합니다. 이들은 탐지 및 예방 (싱크 홀링 DNS 요청)에 사용될 수 있습니다.
Metadefender Cloud	Metadefender Cloud Threat Intelligence Feeds에는 MD5, SHA1 및 SHA256을 포함한 새로운 Malware Hash 서명이 포함되어 있습니다. 이 새로운 악성 해시는 지난 24 시간 내에 Metadefender Cloud에 의해 발견되었습니다. 피드는 실행 가능하고시기 적절한 위협 인텔리전스를 제공하기 위해 새로 감지되고보고 된 맬웨어로 매일 업데이트됩니다.
NetLab opendata 프로젝트	NetLab Opendata 프로젝트는 2016 년 8 월 16 일 ISC '2016에서 첫 번째 공개로 발표되었습니다. 현재 DGA, EK, Malcon, Mirai C2, Mirai-Scanner, Hajime-Scanner 및 DRDOS 반사판을 포함한 여러 데이터 피드를 제공합니다.
힌크!	SNMP, SSH, Telnet은 Matteo Cantoni의 허니 팟에서 IP를 블랙리스트에 올렸습니다
Normshield 서비스	Normshield Services는 잠재적 피싱 공격이 발생할 수있는 수천 개의 도메인 정보 (WHOIS 정보 포함)를 제공합니다. 위반 및 블랙리스트 서비스도 제공됩니다. 지속적인 모니터링을위한 공공 서비스에 대한 무료 가입이 있습니다.
노바 센스 위협	Novasense는 SNAPT Threat Intelligence Center이며 선제 위협 보호 및 공격 완화를위한 통찰력과 도구를 제공합니다. Novasense는 공격자, 남용, 봇넷, DOS 공격 등으로부터 모든 규모의 고객을 보호합니다.
obstracts	사이버 보안 팀을위한 RSS 리더. 모든 블로그를 구조화되고 실행 가능한 위협 인텔리전스로 전환하십시오.
오픈 피드 피드	OpenPhish는 여러 스트림에서 URL을 수신하고 독점 피싱 감지 알고리즘을 사용하여 분석합니다. 무료 및 상업용 제품이 있습니다.
0xSI_F33D	포르투갈 사이버 공간 내에서 볼 수있는 피싱 및 맬웨어 도메인을 감지하기위한 무료 서비스.
피쉬 탱크	피쉬 탱크는 의심되는 피싱 URL 목록을 제공합니다. 그들의 데이터는 인간 보고서에서 비롯되지만 가능한 경우 외부 피드를 섭취합니다. 무료 서비스이지만 API 키 등록이 때때로 필요합니다.
Pickupstix	Pickupstix는 무료, 오픈 소스 및 비상업적 사이버 위협 지능의 피드입니다. 현재 PickupStix는 3 개의 공개 피드를 사용하고 매일 약 100 개의 새로운 지능을 배포합니다. Pickupstix는 다양한 피드를 STIX로 변환하여 모든 Taxii 서버와 통신 할 수 있습니다. 이 데이터는 무료로 사용할 수 있으며 사이버 위협 인텔리전스를 사용하기 시작하는 좋은 방법입니다.
구조 위협 인텔 피드	[RES] Cure는 Fruxlabs Crack Team이 수행 한 독립적 인 위협 인텔리전스 프로젝트로 분산 시스템의 기본 아키텍처, 위협 지능의 특성 및 위협 인텔리전스를 효율적으로 수집, 저장, 소비 및 배포하는 방법에 대한 이해를 향상시킵니다. 피드는 6 시간마다 생성됩니다.
RST 클라우드 위협 인텔 피드	인텔리전스 플랫폼을 사용하여 풍부하고 순위를 매기는 여러 개방 및 커뮤니티 지원 소스에서 수집 및 교차 검사의 집계 된 타협 지표.
Rutgers는 IPS를 블랙리스트에 올렸습니다	SSH Brute Force 공격자의 IP 목록
SANS ICS 의심스러운 영역	SANS ICS의 의심스러운 도메인 위협 목록은 의심스러운 도메인을 추적합니다. 높은 감도 목록에는 오 탐지가 적은 반면, 오 탐지가 더 많은 낮은 감도 목록은 오 탐지가 적은 고도로, 중간 또는 낮은 감도로 분류 된 3 개의 목록을 제공합니다. 도메인의 승인 된 화이트리스트도 있습니다. 마지막으로 Dshield의 제안 된 IP 블록리스트가 있습니다.
SecurityScorecard IOC	기술 블로그의 공개 액세스 IOC는 SecurityScorecard의 게시물 및 보고서입니다.
stixify	자동화 된 위협 인텔리전스 분석가. 비정형 데이터에서 기계 판독 가능한 지능을 추출합니다.
서명 기반	NEO23X0의 다른 도구에 사용되는 서명 데이터베이스.
Spamhaus 프로젝트	Spamhaus 프로젝트에는 스팸 및 맬웨어 활동과 관련된 여러 위협이 포함되어 있습니다.
Sophoslabs Intelix	Sophoslabs Intelix는 Sophos 제품 및 파트너에게 힘을주는 위협 인텔리전스 플랫폼입니다. 파일 해시, URL 등을 기반으로 인텔리전스에 액세스하고 분석을 위해 샘플을 제출할 수 있습니다. REST API를 통해이 위협 인텔리전스를 시스템에 쉽고 빠르게 추가 할 수 있습니다.
박차	Spur는 VPN, 주거 프록시 및 봇을 감지하는 도구와 데이터를 제공합니다. 무료 계획을 통해 사용자는 IP를 조회하고 분류, VPN 제공 업체, IP 뒤에 인기있는 지리적 지리학 및 더 유용한 컨텍스트를 얻을 수 있습니다.
SSL 블랙리스트	SSL Blacklist (SSLBL)는 Abuse.ch로 유지되는 프로젝트입니다. 목표는 악성 코드 또는 봇넷 활동과 관련된 Abuse.ch에서 식별 한 "나쁜"SSL 인증서 목록을 제공하는 것입니다. SSLBL은 악의적 인 SSL 인증서의 SHA1 지문에 의존하며 다양한 블랙리스트를 제공합니다.
Statvoo 상위 1 백만 사이트	Statvoo가 순위에 올랐을 때 상위 1 백만 개의 웹 사이트의 가능한 화이트리스트.
Percipient Networks의 Strongarm	Strongarm은 맬웨어 명령 및 제어를 차단하여 타협 지표에 대한 조치를 취하는 DNS 블랙 홀입니다. StrongArm Aggregates 무료 표시기 피드, 상업용 피드와 통합, Percipient의 IOC 피드를 사용하며 네트워크 및 비즈니스를 보호하는 데 사용할 DNS Resolvers 및 API를 운영합니다. Strongarm은 개인 용도로 무료입니다.
Siem 규칙	탐지 엔지니어링 데이터베이스. 위협 사냥 및 탐지에 대한 SIEM 규칙을보고, 수정 및 배포하십시오.
탈로스	Cisco Talos Intelligence Group은 세계 최대의 상업용 위협 인텔리전스 팀 중 하나이며 세계적 수준의 연구원, 분석가 및 엔지니어로 구성되어 있습니다. 이 팀은 타의 추종을 불허하는 원격 측정 및 정교한 시스템의 지원을 받아 Cisco 고객, 제품 및 서비스를위한 정확하고 신속하며 실행 가능한 위협 인텔리전스를 만듭니다. Talos는 Cisco 고객이 알려진 신흥 위협으로부터 방어하고, 공통 소프트웨어의 새로운 취약점을 발견하며, 인터넷에 큰 해를 끼칠 수 있기 전에 야생의 위협을 삽입합니다. Talos는 Snort.org, Clamav 및 Spamcop의 공식 규칙 세트를 유지할뿐만 아니라 많은 오픈 소스 연구 및 분석 도구를 공개합니다. Talos는 사용하기 쉬운 웹 UI를 제공하여 관찰 가능한 평판을 확인합니다.
위협	Theatrefeeds.io는 무료 및 오픈 소스 위협 인텔리전스 피드 및 소스를 나열하고 직접 다운로드 링크 및 라이브 요약을 제공합니다.
위협 판 .abuse.ch	위협 판은 Infosec 커뮤니티, AV 공급 업체 및 위협 인텔리전스 제공 업체와 맬웨어와 관련된 IOC (IOCS)를 공유하기 위해 Abuse.ch의 무료 플랫폼입니다.
위협에 의한 기술 블로그 및 보고서	이 소스는 90 개가 넘는 오픈 소스, 보안 블로그의 컨텐츠로 채워져 있습니다. IOC (타협 지표)는 각 블로그에서 구문 분석되며 블로그의 내용은 Markdown에서 형식화됩니다.
위협 재머	Threat Jammer는 개발자, 보안 엔지니어 및 기타 IT 전문가가 다양한 소스의 고품질 위협 인텔리전스 데이터에 액세스하고 악의적 인 활동을 감지하고 차단할 목적으로 애플리케이션에 통합 할 수있는 REST API 서비스입니다.
위협 메이너	Theatrminer는 데이터 수집에서 무료 분석가들에게 보고서를 읽고 보고서를 읽는 것부터 피벗 및 데이터 강화에 이르기까지 자신의 작업을 수행 할 수있는 포털을 제공하도록 만들어졌습니다. Threatminer의 강조는 타협 지표 (IOC)에 관한 것이 아니라 분석가들에게 그들이보고있는 IOC와 관련된 상황 정보를 제공합니다.
WSTNPHX 맬웨어 이메일 주소	Vvestron Phoronix (WSTNPHX)가 수집 한 맬웨어에서 사용하는 이메일 주소
Underattack.today	Underattack은 무료 인텔리전스 플랫폼으로 IPS와 의심스러운 이벤트 및 공격에 대한 정보를 공유합니다. 등록은 무료입니다.
Urlhaus	Urlhaus는 악성 코드 분포에 사용되는 악성 URL을 공유하기 위해 Abuse.ch의 프로젝트입니다.
virusshare	Virusshare.com은 보안 연구원, 사고 대응 자, 법의학 분석가 및 악의적 인 코드 샘플에 대한 병적으로 호기심이 많은 액세스를 제공하기위한 맬웨어 샘플의 저장소입니다. 사이트에 대한 액세스는 초대를 통해서만 부여됩니다.
야라-룰즈	가능한 한 최신 상태로 컴파일, 분류 및 최신 상태로 유지되는 다른 Yara 서명이있는 오픈 소스 리포지토리.
Mrlooquer의 첫 번째 듀얼 스택 위협 피드	Mrlooquer는 듀얼 스택이있는 시스템에 중점을 둔 최초의 위협 피드를 만들었습니다. IPv6 프로토콜은 맬웨어 및 사기 통신의 일부가되기 시작 했으므로 프로토콜 (IPv4 및 IPv6)의 위협을 감지하고 완화해야합니다.

형식

위협 지능 공유를위한 표준화 된 형식 (대부분 IOC).

CAPEC	공통 공격 패턴 열거 및 분류 (CAPEC)는 분석가, 개발자, 테스터 및 교육자가 사용할 수있는 알려진 공격의 포괄적 인 사전 및 분류 분류로 지역 사회 이해를 발전시키고 방어를 향상시킵니다.
cybox	사이버 관찰 가능한 표현식 (CYBOX) 언어는 기업 사이버 보안의 운영 영역을 가로 질러 사이버 관찰 가능성을 나타내는 공통 구조를 제공하여 배포 된 도구 및 프로세스의 일관성, 효율성 및 상호 운용성을 향상시킬뿐만 아니라 자세한 자동 공유, 매핑, 감지 및 분석 휴리스틱을 가능하게함으로써 전반적인 상황 인식을 향상시킵니다.
iodef (RFC5070)	입사 객체 설명 Exchange 형식 (IODEF)은 컴퓨터 보안 사고에 대한 컴퓨터 보안 사고 대응 팀 (CSIRT)이 일반적으로 교환하는 정보를 공유하기위한 프레임 워크를 제공하는 데이터 표현을 정의합니다.
idmef (RFC4765)	실험 - 침입 감지 메시지 교환 형식 (IDMEF)의 목적은 관심 정보를 침입 탐지 및 응답 시스템과 상호 작용해야 할 관리 시스템에 대한 관심 정보를 공유하기위한 데이터 형식 및 교환 절차를 정의하는 것입니다.
메이즈	맬웨어 속성 열거 및 특성화 (MAEC) 프로젝트는 동작, 아티팩트 및 공격 패턴과 같은 속성을 기반으로 맬웨어에 대한 구조화 된 정보를 공유하기위한 표준화 된 언어를 작성하고 제공하는 것을 목표로합니다.
Openc2	오아시스 공개 사령부 및 통제 (OPENC2) 기술위원회. Openc2 TC는 Openc2 포럼에서 생성 된 아티팩트를 기반으로합니다. 이 TC와 사양을 설립하기 전에 OpenC2 포럼은 NSA (National Security Agency)가 촉진 한 사이버 보안 이해 관계자 커뮤니티였습니다. Openc2 TC는 표준화 된 방식으로 사이버 보안 명령 및 제어의 요구를 충족시키기 위해 문서, 사양, 어휘 또는 기타 아티팩트를 작성하도록 권장되었습니다.
STIX 2.0	구조화 된 위협 정보 표현식 (STIX) 언어는 사이버 위협 정보를 나타내는 표준화 된 구성입니다. STIX Language는 잠재적 인 사이버 위협 정보의 모든 범위를 전달하고 완전히 표현적이고 유연하며 확장 가능하며 자동화 가능하도록 노력합니다. STIX는 공구 공급 필드를 허용 할뿐만 아니라 OpenIOC, Yara 및 Snort를 포함한 도구 별 요소를 임베딩하기위한 수단을 제공하는 소위 테스트 메커니즘을 제공합니다. STIX 1.X는 여기에 보관되었습니다.
세금	신뢰할 수있는 자동화 된 지표 정보 교환 (TAXII) 표준은 구현 될 때 조직 및 제품/서비스 경계에서 실행 가능한 사이버 위협 정보를 공유 할 수 있도록하는 서비스 및 메시지 교환 세트를 정의합니다. Taxii는 사이버 위협의 탐지, 예방 및 완화를 위해 사이버 위협 정보를 교환하기위한 개념, 프로토콜 및 메시지 교환을 정의합니다.
베리	이벤트 녹음 및 사고 공유 (VERIS)의 어휘는 보안 사고를 구조적이고 반복 가능한 방식으로 설명하기위한 공통 언어를 제공하도록 설계된 일련의 메트릭 세트입니다. Veris는 보안 산업에서 가장 중요하고 지속적인 과제 중 하나 인 품질 정보 부족에 대한 반응입니다. Veris는 구조화 된 형식을 제공하는 것 외에도 커뮤니티에서 데이터를 수집하여 Verizon Data Breach Investigations Report (DBIR)의 위반에 대한보고를 보고이 데이터베이스를 GitHub 저장소에 게시합니다.

프레임 워크 및 플랫폼

위협 인텔리전스 수집, 분석, 생성 및 공유를위한 프레임 워크, 플랫폼 및 서비스.

학대	AbuseHelper는 남용 피드 및 위협 인텔을 수신하고 재분배하기위한 오픈 소스 프레임 워크입니다.
학대	최종 사용자에게 남용 보고서에 대해 수신, 처리, 상관 관계 및 통지 할 툴킷으로 인해 위협 인텔리전스 피드가 소비됩니다.
AIS	CISA (Cybersecurity 및 Infrastructure Security Agency) 무료 자동 지표 공유 (AIS) 기능을 통해 기계 속도에서 연방 정부와 민간 부문 간의 사이버 위협 지표를 교환 할 수 있습니다. 위협 지표는 악의적 인 IP 주소 또는 피싱 이메일의 발신자 주소와 같은 정보입니다 (훨씬 더 복잡 할 수도 있음).
수염 복수 자	위협 지능을 소비하는 가장 빠른 방법. CIF의 후임.
Blueliv 위협 교환 네트워크	참가자는 위협 지표를 커뮤니티와 공유 할 수 있습니다.
피질	Cortex는 IPS, 이메일 주소, URL, 도메인 이름, 파일 또는 해시와 같은 관찰 가능성을 단일 웹 인터페이스를 사용하여 하나 또는 대량 모드로 분석 할 수 있습니다. 웹 인터페이스는 수많은 분석기의 프론트 엔드 역할을하며 분석 중에 직접 통합 할 필요가 없습니다. 분석가는 피질 REST API를 사용하여 분석의 일부를 자동화 할 수 있습니다.
크림	Crits는 분석가에게 맬웨어 및 위협에 대한 공동 연구를 수행 할 수있는 수단을 제공하는 플랫폼입니다. 중앙 집중식 인텔리전스 데이터 저장소에 연결되지만 개인 인스턴스로도 사용할 수도 있습니다.
cif	CIF (Collective Intelligence Framework)를 사용하면 많은 소스에서 알려진 악성 위협 정보를 결합하고 해당 정보를 IR, 탐지 및 완화에 사용할 수 있습니다. Github에서 사용 가능한 코드.
ctix	CTIX는 신뢰할 수있는 네트워크 내에서 위협 데이터의 섭취, 농축, 분석 및 양방향 공유를위한 현명한 클라이언트 서버 위협 인텔리전스 플랫폼 (TIP)입니다.
eclecticiq 플랫폼	Eclecticiq 플랫폼은 STIX/TAXII 기반 위협 인텔리전스 플랫폼 (TIP)으로, 위협 분석가가 더 빠르고, 더 좋고, 더 깊은 조사를 수행하면서 기계 속도에서 인텔리전스를 전파 할 수 있도록합니다.
Intelmq	IntelMQ는 보안 피드, 페이스트 빈, 메시지 대기열 프로토콜을 사용하는 트윗을 수집하고 처리하기위한 CERTS를위한 솔루션입니다. 여러 Infosec 이벤트에서 유럽 CERT가 개념적으로 설계 한 IHAP (Discip Handling Automation Project)라는 커뮤니티 중심의 이니셔티브입니다. 주요 목표는 사고 대응 자에게 위협 인텔리전스를 수집하고 처리하는 쉬운 방법을 제공하여 CERT의 사고 처리 프로세스를 개선하는 것입니다.
안타로우	Intel Owl은 특정 파일, IP 또는 단일 API의 도메인에 대한 위협 인텔리전스 데이터를 스케일로 얻는 OSINT 솔루션입니다. Intel Owl은 외부 소스 (Virustotal 또는 AbuseIPDB와 같은)에서 데이터를 검색하거나 내부 분석기 (Yara 또는 Oletools)에서 인텔을 생성하기 위해 실행할 수있는 분석기로 구성됩니다. 예를 들어 SOC 분석가가 수동으로 수행하는 일반적인 작업을 자동화하기 위해 보안 도구 (PyinTelowl) 스택에 쉽게 통합 될 수 있습니다.
카스퍼 스키 위협 인텔리전스 포털	사이버 위협, 합법적 인 대상 및 관계를 설명하는 지식 기반을 제공하는 웹 사이트는 단일 웹 서비스로 구성되었습니다. Kaspersky Lab의 위협 인텔리전스 포털에 가입하면 카스퍼 스키 위협 데이터 피드, 위협 인텔리전스보고, 카스퍼 스키 위협 조회 및 카스퍼 스키 리서치 샌드 박스 (Kaspersky Threat Intelligence and Research Sandbox)의 4 가지 보완 서비스에 대한 단일 입력 지점을 제공합니다.
malstrom	Malstrom은 위협 추적 및 법의학 인공물을위한 저장소가 될뿐만 아니라 야라 규칙과 조사 메모를 저장하는 것을 목표로합니다. 참고 : GitHub 프로젝트는 보관되었습니다 (새로운 기여도는 허용되지 않음).
마나티	Manati Project는 새로운 관계와 추론을 자동으로 찾는 기계 학습 기술을 사용하여 위협 분석가를 지원합니다.
사마귀	MANTIS (Model Based Analysis of Threat Intelligence Sources) 사이버 위협 인텔리전스 관리 프레임 워크는 STIX 및 CYBOX와 같은 다양한 표준 언어로 표현 된 사이버 위협 지능의 관리를 지원합니다. 그래도 대규모 생산을 준비하지는 못합니다.
메가 트론	Megatron은 나쁜 IP를 수집하고 분석하는 Cert-Se가 구현 한 도구로 통계를 계산하고 로그 파일을 변환 및 분석하고 남용 및 인스턴스 처리로 사용될 수 있습니다.
미성년자	확장 가능한 위협 인텔리전스 처리 프레임 워크로 Palo Alto 네트워크가 생성되었습니다. 그것은 지표 목록을 조작하고 제 3 자 집행 인프라에 의해 소비를 위해이를 변환 및/또는 집계하는 데 사용될 수 있습니다.
기타	MISP (Malware Information Sharing Platform)는 사이버 보안 지표 및 맬웨어 분석을 수집, 저장, 배포 및 공유하기위한 오픈 소스 소프트웨어 솔루션입니다.
n6	N6 (Network Security Incident Exchange)은 보안 정보를 대규모로 수집, 관리 및 배포하는 시스템입니다. 배포는 간단한 REST API와 공인 사용자가 다양한 유형의 데이터, 특히 네트워크의 위협 및 사건에 대한 정보를 수신 할 수있는 웹 인터페이스를 통해 실현됩니다. CERT Polska에 의해 개발되었습니다.
오펜티	오픈 사이버 위협 인텔리전스 플랫폼 인 OpenCTI를 통해 조직은 사이버 위협 지능 지식 및 관찰 가능성을 관리 할 수 있습니다. 목표는 사이버 위협에 대한 기술 및 비 기술적 정보를 구성, 저장, 구성 및 시각화하는 것입니다. 데이터는 STIX2 표준을 기반으로 지식 스키마를 중심으로 구성됩니다. Opencti는 Misp, Thehive 및 Miter Att & CK를 포함한 다른 도구 및 플랫폼과 통합 될 수 있습니다.
Openioc	OpenIOC는 위협 인텔리전스 공유를위한 공개 프레임 워크입니다. 내부 및 외부에서 위협 정보를 기계 소화 가능한 형식으로 교환하도록 설계되었습니다.
opentaxii	OpenTaxii는 풍부한 기능 세트와 잘 설계된 응용 프로그램 위에 구축 된 친근한 Pythonic API를 제공하는 Taxii 서비스의 강력한 파이썬 구현입니다.
타조	위협 인텔리전스 정보를 수집하고 시각화하기위한 오픈 소스 플러그인 지향 프레임 워크.
OTX- 열린 위협 교환	Alienvault Open Threat Exchange (OTX)는 세계적인 위협 연구원 및 보안 전문가 커뮤니티에 대한 공개 액세스를 제공합니다. 커뮤니티 생성 위협 데이터를 제공하고 협업 연구를 가능하게하며 모든 소스의 위협 데이터로 보안 인프라를 업데이트하는 프로세스를 자동화합니다.
열린 위협 파트너 교환	OPENTPX (Open Prest Partner Exchange)는 기계 읽을 수있는 위협 인텔리전스 및 네트워크 보안 운영 데이터를 교환하기위한 오픈 소스 형식 및 도구로 구성됩니다. 연결된 시스템간에 데이터를 공유 할 수있는 JSON 기반 형식입니다.
변동성	RiskIQ가 제공하는 Passivetotal 플랫폼은 공격이 발생하기 전에 공격을 방지하기 위해 가능한 한 많은 데이터를 분석가에게 제공하는 위협 분석 플랫폼입니다. 다른 시스템과의 통합 (API)뿐만 아니라 여러 유형의 솔루션이 제공됩니다.
맥동	맥박은 오픈 소스 피드를 소비하고 IOC를 풍부하게하고 위험 점수 알고리즘을 통해 실행하여 데이터 품질을 향상시키는 무료 커뮤니티 위협 인텔리전스 플랫폼입니다. 이를 통해 사용자는 IOC를 제출, 검색, 상관 관계 및 업데이트 할 수 있습니다. IOC가 더 높은 위험 인 이유에 대한 "위험 요소"를 나열합니다. and provides a high level view of threats and threat activity.
Recorded Future	Recorded Future is a premium SaaS product that automatically unifies threat intelligence from open, closed, and technical sources into a single solution. Their technology uses natural language processing (NLP) and machine learning to deliver that threat intelligence in real time — making Recorded Future a popular choice for IT security teams.
Scumblr	Scumblr is a web application that allows performing periodic syncs of data sources (such as Github repositories and URLs) and performing analysis (such as static analysis, dynamic checks, and metadata collection) on the identified results. Scumblr helps you streamline proactive security through an intelligent automation framework to help you identify, track, and resolve security issues faster.
STAXX (Anomali)	Anomali STAXX™ gives you a free, easy way to subscribe to any STIX/TAXII feed. Simply download the STAXX client, configure your data sources, and STAXX will handle the rest.
stoQ	stoQ is a framework that allows cyber analysts to organize and automate repetitive, data-driven tasks. It features plugins for many other systems to interact with. One use case is the extraction of IOCs from documents, an example of which is shown here, but it can also be used for deobfuscationg and decoding of content and automated scanning with YARA, for example.
TARDIS	The Threat Analysis, Reconnaissance, and Data Intelligence System (TARDIS) is an open source framework for performing historical searches using attack signatures.
위협	ThreatConnect is a platform with threat intelligence, analytics, and orchestration capabilities. It is designed to help you collect data, produce intelligence, share it with others, and take action on it.
ThreatCrowd	ThreatCrowd is a system for finding and researching artefacts relating to cyber threats.
ThreatPipes	Stay two steps ahead of your adversaries. Get a complete picture of how they will exploit you. ThreatPipes is a reconnaissance tool that automatically queries 100's of data sources to gather intelligence on IP addresses, domain names, e-mail addresses, names and more. You simply specify the target you want to investigate, pick which modules to enable and then ThreatPipes will collect data to build up an understanding of all the entities and how they relate to each other.
ThreatExchange	Facebook created ThreatExchange so that participating organizations can share threat data using a convenient, structured, and easy-to-use API that provides privacy controls to enable sharing with only desired groups. This project is still in beta . Reference code can be found at GitHub.
TypeDB CTI	TypeDB Data - CTI is an open source threat intelligence platform for organisations to store and manage their cyber threat intelligence (CTI) knowledge. It enables threat intel professionals to bring together their disparate CTI information into one database and find new insights about cyber threats. This repository provides a schema that is based on STIX2, and contains MITRE ATT&CK as an example dataset to start exploring this threat intelligence platform. More in this blog post.
VirusBay	VirusBay is a web-based, collaboration platform that connects security operations center (SOC) professionals with relevant malware researchers.
threatnote.io	The new and improved threatnote.io - A tool for CTI analysts and teams to manage intel requirements, reporting, and CTI processes in an all-in-one platform
XFE - X-Force Exchange	The X-Force Exchange (XFE) by IBM XFE is a free SaaS product that you can use to search for threat intelligence information, collect your findings, and share your insights with other members of the XFE community.
안티	The open, distributed, machine and analyst-friendly threat intelligence repository. Made by and for incident responders.

도구

All kinds of tools for parsing, creating and editing Threat Intelligence. Mostly IOC based.

ActorTrackr	ActorTrackr is an open source web application for storing/searching/linking actor related data. The primary sources are from users and various public repositories. Source available on GitHub.
AIEngine	AIEngine is a next generation interactive/programmable Python/Ruby/Java/Lua packet inspection engine with capabilities of learning without any human intervention, NIDS(Network Intrusion Detection System) functionality, DNS domain classification, network collector, network forensics and many others.
AIOCRIOC	Artificial Intelligence Ocular Character Recognition Indicator of Compromise (AIOCRIOC) is a tool that combines web scraping, the OCR capabilities of Tesseract and OpenAI compatible LLM API's such as GPT-4 to parse and extract IOCs from reports and other web content including embedded images with contextual data.
Analyze (Intezer)	Analyze is an all-in-one malware analysis platform that is able to perform static, dynamic, and genetic code analysis on all types of files. Users can track malware families, extract IOCs/MITRE TTPs, and download YARA signatures. There is a community edition to get started for free.
Automater	Automater is a URL/Domain, IP Address, and Md5 Hash OSINT tool aimed at making the analysis process easier for intrusion Analysts.
BlueBox	BlueBox is an OSINT solution to get threat intelligence data about a specific file, an IP, a domain or URL and analyze them.
BotScout	BotScout helps prevent automated web scripts, known as "bots", from registering on forums, polluting databases, spreading spam, and abusing forms on web sites.
bro-intel-generator	Script for generating Bro intel files from pdf or html reports.
택시 운전사	A simple Python library for interacting with TAXII servers.
cacador	Cacador is a tool written in Go for extracting common indicators of compromise from a block of text.
결합하다	Combine gathers Threat Intelligence Feeds from publicly available sources.
CrowdFMS	CrowdFMS is a framework for automating collection and processing of samples from VirusTotal, by leveraging the Private API system. The framework automatically downloads recent samples, which triggered an alert on the users YARA notification feed.
CyberGordon	CyberGordon is a threat intelligence search engine. It leverages 30+ sources.
CyBot	CyBot is a threat intelligence chat bot. It can perform several types of lookups offered by custom modules.
Cuckoo Sandbox	Cuckoo Sandbox is an automated dynamic malware analysis system. It's the most well-known open source malware analysis sandbox around and is frequently deployed by researchers, CERT/SOC teams, and threat intelligence teams all around the globe. For many organizations Cuckoo Sandbox provides a first insight into potential malware samples.
Fenrir	Simple Bash IOC Scanner.
FireHOL IP Aggregator	Application for keeping feeds from FireHOL blocklist-ipsets with IP addresses appearance history. HTTP-based API service is developed for search requests.
마초 징발 대원	Multithreaded threat intelligence hunter-gatherer script.
Gigasheet	Gigasheet is a SaaS product used to analyze massive, and disparate cybersecurity data sets. Import massive log files, netflow, pcaps, big CSVs and more.
GoatRider	GoatRider is a simple tool that will dynamically pull down Artillery Threat Intelligence Feeds, TOR, AlienVaults OTX, and the Alexa top 1 million websites and do a comparison to a hostname file or IP file.
Google APT Search Engine	APT Groups, Operations and Malware Search Engine. The sources used for this Google Custom Search are listed on this GitHub gist.
GOSINT	The GOSINT framework is a free project used for collecting, processing, and exporting high quality public indicators of compromise (IOCs).
hashdd	A tool to lookup related information from crytographic hash value
Harbinger Threat Intelligence	Python script that allows to query multiple online threat aggregators from a single interface.
Hippocampe	Hippocampe aggregates threat feeds from the Internet in an Elasticsearch cluster. It has a REST API which allows to search into its 'memory'. It is based on a Python script which fetchs URLs corresponding to feeds, parses and indexes them.
Hiryu	A tool to organize APT campaign information and to visualize relations between IOCs.
IOC Editor	A free editor for Indicators of Compromise (IOCs).
IOC Finder	Python library for finding indicators of compromise in text. Uses grammars rather than regexes for improved comprehensibility. As of February, 2019, it parses over 18 indicator types.
IOC Fanger (and Defanger)	Python library for fanging (`hXXp://example[.]com` => `http://example.com`) and defanging (`http://example.com` => `hXXp://example[.]com`) indicators of compromise in text.
ioc_parser	Tool to extract indicators of compromise from security reports in PDF format.
ioc_writer	Provides a Python library that allows for basic creation and editing of OpenIOC objects.
iocextract	Extracts URLs, IP addresses, MD5/SHA hashes, email addresses, and YARA rules from text corpora. Includes some encoded and “defanged” IOCs in the output, and optionally decodes/refangs them.
IOCextractor	IOC (Indicator of Compromise) Extractor is a program to help extract IOCs from text files. The general goal is to speed up the process of parsing structured data (IOCs) from unstructured or semi-structured data
ibmxforceex.checker.py	Python client for the IBM X-Force Exchange.
jager	Jager is a tool for pulling useful IOCs (indicators of compromise) out of various input sources (PDFs for now, plain text really soon, webpages eventually) and putting them into an easy to manipulate JSON format.
Kaspersky CyberTrace	Threat intelligence fusion and analysis tool that integrates threat data feeds with SIEM solutions. Users can immediately leverage threat intelligence for security monitoring and incident report (IR) activities in the workflow of their existing security operations.
KLara	KLara, a distributed system written in Python, allows researchers to scan one or more Yara rules over collections with samples, getting notifications by e-mail as well as the web interface when scan results are ready.
libtaxii	A Python library for handling TAXII Messages invoking TAXII Services.
Loki	Simple IOC and Incident Response Scanner.
LookUp	LookUp is a centralized page to get various threat information about an IP address. It can be integrated easily into context menus of tools like SIEMs and other investigative tools.
Machinae	Machinae is a tool for collecting intelligence from public sites/feeds about various security-related pieces of data: IP addresses, domain names, URLs, email addresses, file hashes and SSL fingerprints.
MalPipe	Amodular malware (and indicator) collection and processing framework. It is designed to pull malware, domains, URLs and IP addresses from multiple feeds, enrich the collected data and export the results.
MISP Workbench	Tools to export data out of the MISP MySQL database and use and abuse them outside of this platform.
MISP-Taxii-Server	A set of configuration files to use with EclecticIQ's OpenTAXII implementation, along with a callback for when data is sent to the TAXII Server's inbox.
MSTIC Jupyter and Python Security Tools	msticpy is a library for InfoSec investigation and hunting in Jupyter Notebooks.
nyx	The goal of this project is to facilitate distribution of Threat Intelligence artifacts to defensive systems and to enhance the value derived from both open source and commercial tools.
OneMillion	Python library to determine if a domain is in the Alexa or Cisco top, one million domain lists.
openioc-to-stix	Generate STIX XML from OpenIOC XML.
염가 보급판 작품집	Omnibus is an interactive command line application for collecting and managing IOCs/artifacts (IPs, Domains, Email Addresses, Usernames, and Bitcoin Addresses), enriching these artifacts with OSINT data from public sources, and providing the means to store and access these artifacts in a simple way.
OSTIP	A homebrew threat data platform.
poortego	Open-source project to handle the storage and linking of open-source intelligence (ala Maltego, but free as in beer and not tied to a specific / proprietary database). Originally developed in ruby, but new codebase completely rewritten in python.
PyIOCe	PyIOCe is an IOC editor written in Python.
QRadio	QRadio is a tool/framework designed to consolidate cyber threats intelligence sources. The goal of the project is to establish a robust modular framework for extraction of intelligence data from vetted sources.
rastrea2r	Collecting & Hunting for Indicators of Compromise (IOC) with gusto and style!
Redline	A host investigations tool that can be used for, amongst others, IOC analysis.
RITA	Real Intelligence Threat Analytics (RITA) is intended to help in the search for indicators of compromise in enterprise networks of varying size.
Softrace	Lightweight National Software Reference Library RDS storage.
sqhunter	Threat hunter based on osquery, Salt Open and Cymon API. It can query open network sockets and check them against threat intelligence sources
SRA TAXII2 Server	Full TAXII 2.0 specification server implemented in Node JS with MongoDB backend.
Stixvalidator.com	Stixvalidator.com is an online free STIX and STIX2 validator service.
Stixview	Stixview is a JS library for embeddable interactive STIX2 graphs.
stix-viz	STIX Visualization Tool.
TAXII Test Server	Allows you to test your TAXII environment by connecting to the provided services and performing the different functions as written in the TAXII specifications.
threataggregator	ThreatAggregrator aggregates security threats from a number of online sources, and outputs to various formats, including CEF, Snort and IPTables rules.
threatcrowd_api	Python Library for ThreatCrowd's API.
threatcmd	Cli interface to ThreatCrowd.
Threatelligence	Threatelligence is a simple cyber threat intelligence feed collector, using Elasticsearch, Kibana and Python to automatically collect intelligence from custom or public sources. Automatically updates feeds and tries to further enhance data for dashboards. Projects seem to be no longer maintained, however.
ThreatIngestor	Flexible, configuration-driven, extensible framework for consuming threat intelligence. ThreatIngestor can watch Twitter, RSS feeds, and other sources, extract meaningful information like C2 IPs/domains and YARA signatures, and send that information to other systems for analysis.
ThreatPinch Lookup	An extension for Chrome that creates hover popups on every page for IPv4, MD5, SHA2, and CVEs. It can be used for lookups during threat investigations.
ThreatTracker	A Python script designed to monitor and generate alerts on given sets of IOCs indexed by a set of Google Custom Search Engines.
threat_intel	Several APIs for Threat Intelligence integrated in a single package. Included are: OpenDNS Investigate, VirusTotal and ShadowServer.
Threat-Intelligence-Hunter	TIH is an intelligence tool that helps you in searching for IOCs across multiple openly available security feeds and some well known APIs. The idea behind the tool is to facilitate searching and storing of frequently added IOCs for creating your own local database of indicators.
tiq-test	The Threat Intelligence Quotient (TIQ) Test tool provides visualization and statistical analysis of TI feeds.
YETI	YETI is a proof-of-concept implementation of TAXII that supports the Inbox, Poll and Discovery services defined by the TAXII Services Specification.

Research, Standards & Books

All kinds of reading material about Threat Intelligence. Includes (scientific) research and whitepapers.

APT & Cyber Criminal Campaign Collection	Extensive collection of (historic) campaigns. Entries come from various sources.
APTnotes	A great collection of sources regarding Advanced Persistent Threats (APTs). These reports usually include strategic and tactical knowledge or advice.
ATT&CK	Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) is a model and framework for describing the actions an adversary may take while operating within an enterprise network. ATT&CK is a constantly growing common reference for post-access techniques that brings greater awareness of what actions may be seen during a network intrusion. MITRE is actively working on integrating with related construct, such as CAPEC, STIX and MAEC.
Building Threat Hunting Strategies with the Diamond Model	Blogpost by Sergio Caltagirone on how to develop intelligent threat hunting strategies by using the Diamond Model.
Cyber Analytics Repository by MITRE	The Cyber Analytics Repository (CAR) is a knowledge base of analytics developed by MITRE based on the Adversary Tactics, Techniques, and Common Knowledge (ATT&CK™) threat model.
Cyber Threat Intelligence Capability Maturity Model (CTI-CMM)	A new Cyber Threat Intelligence Capability Maturity Model (CTI-CMM) using a stakeholder-first approach and aligned with the Cybersecurity Capability Maturity Model (C2M2) to empower your team and create lasting value.
Cyber Threat Intelligence Repository by MITRE	The Cyber Threat Intelligence Repository of ATT&CK and CAPEC catalogs expressed in STIX 2.0 JSON.
Cyber Threat Intelligence: A Product Without a Process?	A research paper describing how current cyber threat intelligence products fall short and how they can be improved by introducing and evaluating sound methodologies and processes.
Definitive Guide to Cyber Threat Intelligence	Describes the elements of cyber threat intelligence and discusses how it is collected, analyzed, and used by a variety of human and technology consumers. Further examines how intelligence can improve cybersecurity at tactical, operational, and strategic levels, and how it can help you stop attacks sooner, improve your defenses, and talk more productively about cybersecurity issues with executive management in typical for Dummies style.
The Detection Maturity Level (DML)	The DML model is a capability maturity model for referencing ones maturity in detecting cyber attacks. It's designed for organizations who perform intel-driven detection and response and who put an emphasis on having a mature detection program. The maturity of an organization is not measured by it's ability to merely obtain relevant intelligence, but rather it's capacity to apply that intelligence effectively to detection and response functions.
The Diamond Model of Intrusion Analysis	This paper presents the Diamond Model, a cognitive framework and analytic instrument to support and improve intrusion analysis. Supporting increased measurability, testability and repeatability in intrusion analysis in order to attain higher effectivity, efficiency and accuracy in defeating adversaries is one of its main contributions.
The Targeting Process: D3A and F3EAD	F3EAD is a military methodology for combining operations and intelligence.
Guide to Cyber Threat Information Sharing by NIST	The Guide to Cyber Threat Information Sharing (NIST Special Publication 800-150) assists organizations in establishing computer security incident response capabilities that leverage the collective knowledge, experience, and abilities of their partners by actively sharing threat intelligence and ongoing coordination. The guide provides guidelines for coordinated incident handling, including producing and consuming data, participating in information sharing communities, and protecting incident-related data.
Intelligence Preparation of the Battlefield/Battlespace	This publication discusses intelligence preparation of the battlespace (IPB) as a critical component of the military decision making and planning process and how IPB supports decision making, as well as integrating processes and continuing activities.
Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains	The intrusion kill chain as presented in this paper provides one with a structured approach to intrusion analysis, indicator extraction and performing defensive actions.
ISAO Standards Organization	The ISAO Standards Organization is a non-governmental organization established on October 1, 2015. Its mission is to improve the Nation's cybersecurity posture by identifying standards and guidelines for robust and effective information sharing related to cybersecurity risks, incidents, and best practices.
Joint Publication 2-0: Joint Intelligence	This publication by the US army forms the core of joint intelligence doctrine and lays the foundation to fully integrate operations, plans and intelligence into a cohesive team. The concepts presented are applicable to (Cyber) Threat Intelligence too.
Microsoft Research Paper	A framework for cybersecurity information sharing and risk reduction. A high level overview paper by Microsoft.
MISP Core Format (draft)	This document describes the MISP core format used to exchange indicators and threat information between MISP (Malware Information and threat Sharing Platform) instances.
NECOMA Project	The Nippon-European Cyberdefense-Oriented Multilayer threat Analysis (NECOMA) research project is aimed at improving threat data collection and analysis to develop and demonstratie new cyberdefense mechanisms. As part of the project several publications and software projects have been published.
Pyramid of Pain	The Pyramid of Pain is a graphical way to express the difficulty of obtaining different levels of indicators and the amount of resources adversaries have to expend when obtained by defenders.
Structured Analytic Techniques For Intelligence Analysis	This book contains methods that represent the most current best practices in intelligence, law enforcement, homeland security, and business analysis.
Threat Intelligence: Collecting, Analysing, Evaluating	This report by MWR InfoSecurity clearly describes several different types of threat intelligence, including strategic, tactical and operational variations. It also discusses the processes of requirements elicitation, collection, analysis, production and evaluation of threat intelligence. Also included are some quick wins and a maturity model for each of the types of threat intelligence defined by MWR InfoSecurity.
Threat Intelligence Sharing Platforms: An Exploratory Study of Software Vendors and Research Perspectives	A systematic study of 22 Threat Intelligence Sharing Platforms (TISP) surfacing eight key findings about the current state of threat intelligence usage, its definition and TISPs.
Traffic Light Protocol	The Traffic Light Protocol (TLP) is a set of designations used to ensure that sensitive information is shared with the correct audience. It employs four colors to indicate different degrees of sensitivity and the corresponding sharing considerations to be applied by the recipient(s).
Unit42 Playbook Viewer	The goal of the Playbook is to organize the tools, techniques, and procedures that an adversary uses into a structured format, which can be shared with others, and built upon. The frameworks used to structure and share the adversary playbooks are MITRE's ATT&CK Framework and STIX 2.0
Who's Using Cyberthreat Intelligence and How?	A whitepaper by the SANS Institute describing the usage of Threat Intelligence including a survey that was performed.
WOMBAT Project	The WOMBAT project aims at providing new means to understand the existing and emerging threats that are targeting the Internet economy and the net citizens. To reach this goal, the proposal includes three key workpackages: (i) real time gathering of a diverse set of security related raw data, (ii) enrichment of this input by means of various analysis techniques, and (iii) root cause identification and understanding of the phenomena under scrutiny.