awesome threat intelligence
1.0.0
Uma lista com curadoria de incríveis recursos de inteligência de ameaças
Uma definição concisa de inteligência de ameaças: conhecimento baseado em evidências, incluindo contexto, mecanismos, indicadores, implicações e conselhos acionáveis, sobre uma ameaça ou perigo existente ou emergente a ativos que podem ser usados para informar as decisões sobre a resposta do sujeito a essa ameaça ou perigo .
Sinta -se à vontade para contribuir.
A maioria dos recursos listados abaixo fornece listas e/ou APIs para obter (espero) informações atualizadas em relação às ameaças. Alguns consideram essas fontes como inteligência de ameaças, as opiniões diferem no entanto. Uma certa quantidade de análise (específica de domínio ou empresa) é necessária para criar a verdadeira inteligência de ameaças.
| Abusopdb | O AbuveIPDB é um projeto dedicado a ajudar a combater a disseminação de hackers, spammers e atividades abusivas na Internet. Sua missão é ajudar a tornar a Web mais segura, fornecendo uma lista negra central para webmasters, administradores de sistemas e outras partes interessadas para relatar e encontrar endereços IP que foram associados a atividades maliciosas online. |
| Alexa Top 1 milhão de sites | Os 1 milhão de sites da Amazon (Alexa). Nunca use isso como uma lista de permissões. |
| Grupos e operações adequados | Uma planilha contendo informações e inteligência sobre grupos, operações e táticas adequadas. |
| Defesa Binária IP Banlist | Feed de Inteligência de Ameaças de Artilharia de Sistemas de Defesa Binária e Feed IP Banlist. |
| Classificação BGP | Classificação de Asns com o conteúdo mais malicioso. |
| Tracker de botnet | Rastreia várias botnets ativas. |
| Botvrij.eu | O BOTVRIJ.EU fornece diferentes conjuntos de IOCs de código aberto que você pode usar em seus dispositivos de segurança para detectar possíveis atividades maliciosas. |
| BruteforceBlocker | O BruteForceBlocker é um script Perl que monitora os logs do SSHD de um servidor e identifica ataques de força bruta, que ele usa para configurar automaticamente as regras de bloqueio de firewall e enviar esses IPs de volta ao site do projeto, htttp://danger.rulez.sk/projects/bruteceblocker/blist.blist.blist.blist.blist.blists.rulez.sk/projects/bruteceblocker/blist.blist.blist.blist.blist.blist.blists.rulez.sk/projects/bruteceblocker/blists.blista |
| C&C Tracker | Um feed de endereços IP de C&C conhecidos, ativos e não perdidos, da Bambenek Consulting. Requer licença para uso comercial. |
| CertStream | Certificado em tempo real Transparency Log Update Stream. Veja os certificados SSL conforme emitidos em tempo real. |
| Certificados de malware do fórum CCSS | A seguir, é apresentada uma lista de certificados digitais que foram relatados pelo fórum como possivelmente associados ao malware a várias autoridades de certificação. Essas informações têm como objetivo ajudar a impedir que as empresas usem certificados digitais para adicionar legitimidade para malware e incentivar a revogação imediata de tais certificados. |
| Lista do Exército CI | Um subconjunto da lista de pontuações comerciais do CINS, focado em IPs mal classificados que atualmente não estão presentes em outras listas de ameaças. |
| Guarda -chuva da Cisco | Provável lista de permissões dos 1 milhão de sites, resolvidos pela Cisco Umbrella (era OpenDNS). |
| Vírus Cloudmersive Scan | CloudMersive Virus Scan APIs Digitam arquivos, URLs e armazenamento em nuvem para vírus. Eles aproveitam as assinaturas atualizadas continuamente para milhões de ameaças e avançadas capacidades de varredura de alto desempenho. O serviço é gratuito, mas exige que você se registre para uma conta recuperar sua chave de API pessoal. |
| Console Crowdsec | O maior CTI de origem da multidão, atualizada quase em tempo real, graças ao CrowdSec um software IDS/IPS de próxima geração, de código aberto, gratuito e colaborativo. O CROWDSEC é capaz de analisar o comportamento do visitante e fornecer uma resposta adaptada a todos os tipos de ataques. Os usuários podem compartilhar seus alertas sobre ameaças com a comunidade e se beneficiar do efeito da rede. Os endereços IP são coletados de ataques reais e não estão chegando exclusivamente de uma rede Honeypot. |
| Feeds de inteligência gratuitos de ciberagem | A Cyber Cure oferece feeds de inteligência de ameaças cibernéticas gratuitas com listas de endereços IP que estão atualmente infectados e atacando a Internet. Há uma lista de URLs usados por malware e lista de arquivos de hash de malware conhecido que está se espalhando atualmente. A cibercure está usando sensores para coletar inteligência com uma taxa positiva falsa muito baixa. A documentação detalhada também está disponível. |
| Feeds de inteligência de ameaças de Cyware | Os feeds de inteligência de ameaças da Cyware trazem a você os valiosos dados de ameaças de uma ampla gama de fontes abertas e confiáveis para fornecer um fluxo consolidado de inteligência valiosa e acionável de ameaças. Nossos feeds de ameaças são totalmente compatíveis com o Stix 1.x e 2.0, fornecendo as informações mais recentes sobre hashes, IPs e domínios mal-intencionados descobertos em todo o mundo em tempo real. |
| DataPlane.org | DataPlane.org é um recurso, feeds e recursos de medição da Internet movidos à comunidade para operadores, por operadores. Fornecemos um serviço confiável e confiável, sem nenhum custo. |
| Focsec.com | O FOCSEC.com fornece uma API para detectar VPNs, proxys, bots e solicitações do TOR. Os dados sempre atualizados ajudam a detectar logins suspeitos, fraude e abuso. Exemplos de código podem ser encontrados na documentação. |
| Digitalside Ameak-Intel | Contém conjuntos de indicadores de inteligência de ameaças cibernéticas de código aberto, principalmente baseadas na análise de malware e URLs, IPs e domínios comprometidos. O objetivo deste projeto é desenvolver e testar novas maneiras de caçar, analisar, coletar e compartilhar os IOCs relevantes a serem usados pelo SOC/CSIRT/CERT/INDULDENTS com esforço mínimo. Os relatórios são compartilhados de três maneiras: Stix2, CSV e MISP Feed. Os relatórios são publicados também no repositório Git do projeto. |
| Domínios de email descartáveis | Uma coleção de domínios de email anônimos ou descartáveis comumente usados para spam/abuso. |
| Trilhas DNS | Fonte de inteligência gratuita para informações atuais e históricas do DNS, informações de whois, encontrando outros sites associados a certos IPs, conhecimento e tecnologias de subdomínio. Há uma API de inteligência de IP e domínio também disponível. |
| Ameaças emergentes Firewall Rules | Uma coleção de regras para vários tipos de firewalls, incluindo iptables, pf e pix. |
| Regras de IDs de ameaças emergentes | Uma coleção de arquivos de regras Snort e Suricata que podem ser usados para alertar ou bloquear. |
| Exonerador | O Serviço Exonerador mantém um banco de dados de endereços IP que fizeram parte da rede Tor. Ele responde à pergunta se havia um relé do Tor em execução em um determinado endereço IP em uma determinada data. |
| ExplorAtalert | Listagem das explorações mais recentes lançadas. |
| FastIntercept | Intercept Security hospeda uma série de listas de reputação de IP gratuitas de sua rede global de honeypot. |
| Zeus Tracker | O abuso de rastreador de feodo. Rastreia o Feodo Trojan. |
| Listas de IP de Firehol | 400+ Feeds IP disponíveis ao público analisados para documentar sua evolução, geo-mapa, idade da IPS, política de retenção, sobreposições. O site se concentra no crime cibernético (ataques, abuso, malware). |
| FraudGuard | A FraudGuard é um serviço projetado para fornecer uma maneira fácil de validar o uso, coletando e analisando continuamente o tráfego da Internet em tempo real. |
| Greynoise | Greynoise coleta e analisa dados sobre atividades de varredura em toda a Internet. Ele coleta dados de scanners benignos como Shodan.io, bem como atores maliciosos como SSH e Telnet Worms. |
| Honeydb | O HoneyDB fornece dados em tempo real da atividade do Honeypot. Esses dados vêm de Honeypots implantados na Internet usando o Honeypy Honeypot. Além disso, o HoneyDB fornece acesso à API à atividade coletada do Honeypot, que também inclui dados agregados de vários feeds do Honeypot Twitter. |
| Água de gelo | 12.805 regras YARA gratuitas criadas pelo Projeto Icewater. |
| Infosec - Cert -Pa | Coleta e análise de amostras de malware, serviço de blocos, banco de dados de vulnerabilidades e muito mais. Criado e gerenciado por Cert-Pa. |
| Laboratórios de Inquérito | Um portal de dados aberto, interativo e orientado pela API para pesquisadores de segurança. Pesquise um grande corpus de amostras de arquivos, informações de reputação agregadas e COI extraídos de fontes públicas. Aumentar o desenvolvimento de Yara com ferramentas para gerar gatilhos, lidar com hexadecimal de caso misto e gerar expressões regulares compatíveis com base64. |
| I-Blocklist | A I-Blocklist mantém vários tipos de listas contendo endereços IP pertencentes a várias categorias. Algumas dessas categorias principais incluem países, ISPs e organizações. Outras listas incluem ataques na web, tor, spyware e proxies. Muitos são livres para usar e estão disponíveis em vários formatos. |
| Ipsum | O ipsum é um feed de inteligência de ameaças com base em mais de 30 listas diferentes publicamente disponíveis de endereços IP suspeitos e/ou maliciosos. Todas as listas são recuperadas e analisadas automaticamente com base diariamente (24h) e o resultado final é empurrado para esse repositório. A lista é feita de endereços IP, juntamente com um número total de ocorrência (preta) da lista (para cada). Criado e gerenciado pelo Miroslav Stampar. |
| Feeds de inteligência de ameaças de James Brine | O Jamesbrine fornece feeds diários de inteligência de ameaças para endereços IP maliciosos de Honeypots internacionalmente localizados em nuvem e infraestrutura privada, cobrindo uma variedade de protocolos, incluindo SSH, FTP, RDP, GIT, SNMP e REDIS. Os COI do dia anterior estão disponíveis no STIX2, bem como IOCs adicionais, como URIs suspeitos e domínios recém -registrados, que têm uma alta probabilidade de uso em campanhas de phishing. |
| Feeds de dados de ameaças Kaspersky | Atualizado e informe continuamente sua empresa ou clientes sobre riscos e implicações associadas a ameaças cibernéticas. Os dados em tempo real ajudam você a mitigar as ameaças de maneira mais eficaz e se defender contra ataques antes mesmo de serem lançados. Os feeds de dados demo contêm conjuntos de IOCs truncados (até 1%) em comparação com os comerciais |
| Milhão majestoso | Provável lista de permissões dos 1 milhão de sites principais, classificados por Majestic. Os sites são ordenados pelo número de sub -redes de referência. Mais sobre o ranking pode ser encontrado em seu blog. |
| Maldatabase | O Maldatabase foi projetado para ajudar a ciência de dados de malware e feeds de inteligência de ameaças. Os dados desde que contêm boas informações sobre, entre outros campos, contatos de domínios, lista de processos executados e arquivos descartados por cada amostra. Esses feeds permitem que você melhore suas ferramentas de monitoramento e segurança. Serviços gratuitos estão disponíveis para pesquisadores e estudantes de segurança. |
| Malpedia | O objetivo principal da Malpedia é fornecer um recurso para identificação rápida e contexto acionável ao investigar malware. A abertura a contribuições com curadoria deve garantir um nível responsável de qualidade para promover pesquisas significativas e reproduzíveis. |
| Malshare.com | O Projeto Malshare é um repositório público de malware que fornece aos pesquisadores acesso gratuito a amostras. |
| Maltiverse | O Projeto Maltiverse é um banco de dados IOC grande e enriquecido, onde é possível fazer consultas complexas e agregações para investigar as campanhas de malware e suas infraestruturas. Ele também possui um ótimo serviço de consulta em massa do COI. |
| MalwareBazaar | MalwareBazaar é um projeto de abuso. |
| Lista de domínio de malware | Uma lista pesquisável de domínios maliciosos que também executa pesquisas reversas e lista os registrantes, focado em phishing, trojans e kits de exploração. |
| Patrulha de malware | A Patrulha de Malware fornece listas de blocos, feeds de dados e inteligência de ameaças para empresas de todos os tamanhos. Como nossa especialidade é a inteligência de ameaças cibernéticas, todos os nossos recursos são necessários para garantir que seja da mais alta qualidade possível. Acreditamos que uma equipe de segurança e suas ferramentas são tão boas quanto os dados utilizados. Isso significa que nossos feeds não estão preenchidos com indicadores não verificados e raspados. Valorizamos a qualidade sobre a quantidade. |
| Malware-tráfego-análise.net | Este blog se concentra no tráfego de rede relacionado a infecções por malware. Contém exercícios de análise de tráfego, tutoriais, amostras de malware, arquivos PCAP de tráfego de rede malicioso e postagens técnicas com observações. |
| Malwaredomains.com | O projeto DNS-BH cria e mantém uma lista de domínios que são conhecidos por serem usados para propagar malware e spyware. Estes podem ser usados para detecção e prevenção (solicitações de DNS de afundamento). |
| Metadefender Cloud | Os feeds de inteligência de ameaças em nuvem do Metadefender contém as principais assinaturas de hash de malware, incluindo MD5, SHA1 e SHA256. Esses novos hashes maliciosos foram vistos pela Metadefender Cloud nas últimas 24 horas. Os feeds são atualizados diariamente com malware recém -detectado e relatado para fornecer inteligência de ameaças acionável e oportuna. |
| Projeto Netlab Opendata | O projeto NetLab Opendata foi apresentado ao público primeiro no ISC '2016 em 16 de agosto de 2016. Atualmente, fornecemos vários feeds de dados, incluindo DGA, EK, Malcon, Mirai C2, Mirai-Scanner, Hajime-Scanner e DRDOS Reflector. |
| Nada! | SNMP, SSH, Telnet Listado Blackisted IPS da Matteo Cantoni's Honeypots |
| NormShield Services | Os Serviços Normshield fornecem milhares de informações de domínio (incluindo informações da WHOIS) de que possíveis ataques de phishing podem vir. Os serviços de violação e lista negra também estão disponíveis. Há inscrição gratuita para serviços públicos para monitoramento contínuo. |
| Ameaças do Novasense | O Novasense é o Snapt Threat Intelligence Center e fornece informações e ferramentas para proteção de ameaças preventivas e mitigação de ataques. A Novasense protege clientes de todos os tamanhos de atacantes, abuso, botnets, ataques de DOS e muito mais. |
| Observação | O leitor do RSS para equipes de segurança cibernética. Transforme qualquer blog em inteligência estruturada e acionável. |
| Feeds Openphish | O OpenPhish recebe URLs de vários fluxos e os analisa usando seus algoritmos proprietários de detecção de phishing. Existem ofertas gratuitas e comerciais disponíveis. |
| 0xsi_f33d | Serviço gratuito para detectar domínios possíveis de phishing e malware, IPS na lista negra no ciberespaço português. |
| Phishtank | O Phishtank entrega uma lista de URLs de phishing suspeitos. Seus dados vêm de relatórios humanos, mas também ingerem feeds externos sempre que possível. É um serviço gratuito, mas às vezes é necessário registrar uma chave da API. |
| Pickupstix | O PickupStix é um feed de inteligência de ameaças cibernéticas gratuitas, de código aberto e não comercializado. Atualmente, o PickupStix usa três feeds públicos e distribui cerca de 100 novas peças de inteligência a cada dia. O PickupStix traduz os vários feeds em Stix, que podem se comunicar com qualquer servidor de táxi. Os dados são gratuitos e é uma ótima maneira de começar a usar a inteligência de ameaças cibernéticas. |
| Ameaça de resistência Feed Intel | [Res] Cure é um projeto de inteligência de ameaças independente realizado pela equipe do Fruxlabs Crack para melhorar sua compreensão da arquitetura subjacente dos sistemas distribuídos, a natureza da inteligência de ameaças e como coletar, armazenar, armazenar, consumir e distribuir com eficiência. Os alimentos são gerados a cada 6 horas. |
| RST Feed Intel de ameaças em nuvem | Indicadores agregados de compromisso coletados e verificados de várias fontes abertas e apoiadas pela comunidade, enriquecidas e classificadas usando nossa plataforma de inteligência. |
| Rutgers IPS na lista negra | A lista de IP de atacantes da SSH Brute Force é criada a partir de um IPS fundido de IPS observado localmente e IPS de 2 horas de idade registrado em badip.com e blocklist.de |
| Sans ICs Susinças suspeitas | Os domínios suspeitos listas de ameaças de Sans rastreiam domínios suspeitos. Oferece 3 listas categorizadas como sensibilidade alta, média ou baixa, onde a lista de alta sensibilidade tem menos falsos positivos, enquanto a lista de baixa sensibilidade com mais falsos positivos. Há também uma lista de permissões aprovados de domínios. Finalmente, há uma lista de bloqueio de IP sugerida do DShield. |
| IOCs de segurança | Acesso público aos IOCs de postagens e relatórios de blogs técnicos da SecurityScorecard. |
| Stixify | Seu analista automatizado de inteligência de ameaças. Extraia a inteligência legível da máquina a partir de dados não estruturados. |
| Base de assinatura | Um banco de dados de assinaturas usadas em outras ferramentas pelo NEO23X0. |
| O projeto Spamhaus | O projeto Spamhaus contém várias listas de ameaças associadas à atividade de spam e malware. |
| Sophoslabs Intelix | O Sophoslabs Intelix é a plataforma de inteligência de ameaças que alimenta produtos e parceiros da Sophos. Você pode acessar a inteligência com base no hash de arquivo, URL etc., bem como enviar amostras para análise. Através da API REST, você pode adicionar facilmente e rapidamente essa inteligência de ameaças aos seus sistemas. |
| Spur | O Spur fornece ferramentas e dados para detectar VPNs, proxies residenciais e bots. O Plano Free permite que os usuários procurem um IP e obtenham sua classificação, provedor de VPN, geolocações populares por trás do IP e algum contexto mais útil. |
| SSL Blacklist | SSL Blacklist (SSLBL) é um projeto mantido por abuso. O objetivo é fornecer uma lista de certificados SSL "ruins" identificados pelo abuso. O SSLBL conta com impressões digitais sha1 de certificados SSL maliciosos e oferece várias listas negras |
| Statvoo Top 1 milhão de sites | Provável lista de permissões dos 1 milhão de sites, classificados por Statvoo. |
| Strongarm, por redes percipientes | Strongarm é um buraco negro do DNS que age os indicadores de compromisso bloqueando o comando e o controle de malware. A StrongMarr agrega feeds de indicadores livres, integra -se a feeds comerciais, utiliza os feeds do IOC da Percipient e opera resolvedores e APIs do DNS para você usar para proteger sua rede e negócios. Strongarm é gratuito para uso pessoal. |
| Regras do SIEM | Seu banco de dados de engenharia de detecção. Veja, modifique e implante regras do SIEM para caça e detecção de ameaças. |
| Talos | O Cisco Talos Intelligence Group é uma das maiores equipes de inteligência de ameaças comerciais do mundo, composta por pesquisadores, analistas e engenheiros de classe mundial. Essas equipes são suportadas por telemetria incomparável e sistemas sofisticados para criar inteligência de ameaças precisa, rápida e acionável para clientes, produtos e serviços da Cisco. Talos defende clientes da Cisco contra ameaças conhecidas e emergentes, descobre novas vulnerabilidades em software comum e interdita ameaças na natureza antes que elas possam prejudicar ainda mais a Internet em geral. Talos mantém os conjuntos de regras oficiais do Snort.org, Clamav e Spamcop, além de liberar muitas ferramentas de pesquisa e análise de código aberto. O Talos fornece uma interface do usuário da Web fácil de usar para verificar a reputação de um observável. |
| AmeaMfeeds.io | Ameakfeeds.io lista feeds e fontes de inteligência de ameaças gratuitas e de código aberto e fornece links de download direto e resumos ao vivo. |
| AMAKEFOX.ABUSE.CH | O AmeaMFox é uma plataforma gratuita de abuso. |
| Blogs e relatórios técnicos, por AmeansConnect | Esta fonte está sendo preenchida com o conteúdo de mais de 90 blogs de segurança. Os IOCs (indicadores de compromisso) são analisados de cada blog e o conteúdo do blog é formatado em Markdown. |
| Ameaças Jammer | O Ameak Jammer é um serviço de API REST que permite que desenvolvedores, engenheiros de segurança e outros profissionais de TI acessem dados de inteligência de ameaças de alta qualidade de uma variedade de fontes e o integrem em seus aplicativos com o único objetivo de detectar e bloquear atividades maliciosas. |
| AmeaMMiner | O AmeaMMiner foi criado para analistas gratuitos da coleta de dados e para fornecer um portal no qual eles podem realizar suas tarefas, desde a leitura de relatórios a articulação e enriquecimento de dados. A ênfase do ThreatMiner não é apenas apenas indicadores de compromisso (COI), mas também para fornecer aos analistas informações contextuais relacionadas ao COI que estão olhando. |
| Endereços de email de malware wstnphx | Endereços de email usados por malware coletado por vvestron phoronix (wstnphx) |
| Underattack.today | Underattack é uma plataforma de inteligência gratuita, ele compartilha IPS e informações sobre eventos e ataques suspeitos. As inscrições são gratuitas. |
| Urlhaus | Urlhaus é um projeto de abuso. |
| Virusshare | Virusshare.com é um repositório de amostras de malware para fornecer pesquisadores de segurança, respondedores de incidentes, analistas forenses e acesso mórbidomente curioso a amostras de código malicioso. O acesso ao site é concedido apenas por convite. |
| Yara-Rules | Um repositório de código aberto com diferentes assinaturas YARA compiladas, classificadas e mantidas o mais atualizado possível. |
| 1º Feed de ameaça de pilha dupla de MrlooQuer | MrlooQuer criou o primeiro feed de ameaças focado em sistemas com pilha dupla. Como o protocolo IPv6 começou a fazer parte das comunicações de malware e fraude, é necessário detectar e mitigar as ameaças em ambos os protocolos (IPv4 e IPv6). |
Formatos padronizados para compartilhar a inteligência de ameaças (principalmente COI).
| Capec | A enumeração e classificação do padrão de ataque comum (CAPEC) é um dicionário abrangente e classificação taxonomia de ataques conhecidos que podem ser usados por analistas, desenvolvedores, testadores e educadores para promover o entendimento da comunidade e aprimorar as defesas. |
| Cybox | A linguagem de expressão observável cibernética (CYBox) fornece uma estrutura comum para representar observáveis cibernéticas em e entre as áreas operacionais da segurança cibernética corporativa que melhora a consistência, a eficiência e a interoperabilidade das ferramentas e processos implantados, além de aumentar a conscientização situacional geral e a possibilidade de permitir o potencial de compartilhamento detalhado. |
| Iodef (RFC5070) | O Formato de Exchange de Descrição do Objeto Incidente (IODEF) define uma representação de dados que fornece uma estrutura para compartilhar informações comumente trocadas pelas equipes de resposta a incidentes de segurança do computador (CSIRTs) sobre incidentes de segurança de computadores. |
| IDMEF (RFC4765) | Experimental - O objetivo do formato de troca de mensagens de detecção de intrusões (IDMEF) é definir formatos de dados e procedimentos de troca para compartilhar informações de interesse nos sistemas de detecção e resposta de intrusões e aos sistemas de gerenciamento que podem precisar interagir com eles. |
| Maec | Os projetos de enumeração e caracterização de atributos de malware (MAEC) visam criar e fornecer uma linguagem padronizada para compartilhar informações estruturadas sobre malware com base em atributos como comportamentos, artefatos e padrões de ataque. |
| OpenC2 | OASIS Open Command and Control (OpenC2) Comitê técnico. O OpenC2 TC baseará seus esforços em artefatos gerados pelo Fórum OpenC2. Antes da criação deste TC e especificação, o fórum OpenC2 era uma comunidade de partes interessadas em segurança cibernética que foi facilitada pela Agência de Segurança Nacional (NSA). O OpenC2 TC foi fretado para redigir documentos, especificações, léxicos ou outros artefatos para atender às necessidades do comando e controle de segurança cibernética de maneira padronizada. |
| Stix 2.0 | A linguagem de expressão de informações de ameaças estruturadas (STIX) é um construto padronizado para representar informações de ameaças cibernéticas. A linguagem Stix pretende transmitir toda a gama de possíveis informações de ameaças cibernéticas e se esforça para ser totalmente expressiva, flexível, extensível e automatizável. O STIX não apenas permite campos agnósticos da ferramenta, mas também fornece os chamados mecanismos de teste que fornecem meios para incorporar elementos específicos da ferramenta, incluindo Openioc, Yara e Snort. O Stix 1.x foi arquivado aqui. |
| Taxii | A troca automatizada confiável de informações indicadoras (Taxii) define um conjunto de serviços e trocas de mensagens que, quando implementadas, permitem o compartilhamento de informações acionáveis sobre ameaças cibernéticas nos limites da organização e do produto/serviço. O Taxii define conceitos, protocolos e trocas de mensagens para trocar informações sobre ameaças cibernéticas pela detecção, prevenção e mitigação de ameaças cibernéticas. |
| Veris | O vocabulário para gravação de eventos e compartilhamento de incidentes (Veris) é um conjunto de métricas projetadas para fornecer um idioma comum para descrever incidentes de segurança de maneira estruturada e repetível. Veris é uma resposta a um dos desafios mais críticos e persistentes no setor de segurança - falta de informações de qualidade. Além de fornecer um formato estruturado, a Veris também coleta dados da comunidade para reportar violações no Relatório de Investigações de Brecha de Dados da Verizon (DBIR) e publica esse banco de dados on -line em um repository.org do github. |
Estruturas, plataformas e serviços para coletar, analisar, criar e compartilhar inteligência de ameaças.
| Abusohelper | O AbuveHelper é uma estrutura de código aberto para receber e redistribuir feeds de abuso e ameaça Intel. |
| Abusoio | Um kit de ferramentas para receber, processar, correlacionar e notificar os usuários finais sobre relatórios de abuso, consumindo feeds de inteligência de ameaças. |
| AIS | A capacidade de compartilhamento automatizador de indicadores automatizados gratuitos (CISA) de segurança cibernética e infraestrutura (CISA) permite a troca de indicadores de ameaças cibernéticas entre o governo federal e o setor privado na velocidade da máquina. Os indicadores de ameaças são informações como endereços IP maliciosos ou o endereço do remetente de um email de phishing (embora também possam ser muito mais complicados). |
| Avenger barbudo | A maneira mais rápida de consumir inteligência de ameaças. Sucessor do CIF. |
| Rede de troca de ameaças blueliv | Permite que os participantes compartilhem indicadores de ameaça com a comunidade. |
| Córtex | O Cortex permite observação, como IPS, endereços de email, URLs, nomes de domínio, arquivos ou hashes, serem analisados um por um ou em modo a granel usando uma única interface da Web. A interface da Web atua como um front -end para vários analisadores, removendo a necessidade de integrá -los você mesmo durante a análise. Os analistas também podem usar a API REST Cortex para automatizar partes de sua análise. |
| CRITES | Crits é uma plataforma que fornece aos analistas os meios para realizar pesquisas colaborativas sobre malware e ameaças. Ele se conecta a um repositório de dados de inteligência centralizado, mas também pode ser usado como uma instância privada. |
| Cif | A estrutura de inteligência coletiva (CIF) permite combinar informações conhecidas sobre ameaças maliciosas de muitas fontes e usar essas informações para RI, detecção e mitigação. Código disponível no GitHub. |
| Ctix | O CTIX é uma plataforma inteligente de inteligência de ameaças ao cliente-servidor (TIP) para ingestão, enriquecimento, análise e compartilhamento bidirecional de dados de ameaças em sua rede confiável. |
| Plataforma Eclecticiq | A plataforma Eclecticiq é uma plataforma de inteligência de ameaças baseada em STIX/táxi (TIP) que capacita os analistas de ameaças a executar investigações mais rápidas, melhores e mais profundas enquanto disseminarem a inteligência em velocidade da máquina. |
| Intelmq | O IntelMQ é uma solução para certificados para coleta e processamento de feeds de segurança, pastebins e tweets usando um protocolo de fila de mensagens. É uma iniciativa orientada pela comunidade chamada IHAP (Projeto de Automação de Manipulação de Incidentes), que foi conceitualmente projetada por certificados europeus durante vários eventos da InfoSec. Seu principal objetivo é dar aos respondedores incidentes uma maneira fácil de coletar e processar a inteligência de ameaças, melhorando assim os processos de manuseio de incidentes dos CERTs. |
| Intelowl | A Intel Owl é uma solução OSINT para obter dados de inteligência de ameaças sobre um arquivo específico, um IP ou um domínio de uma única API em escala. A Intel OWL é composta por analisadores que podem ser executados para recuperar dados de fontes externas (como Virustotal ou AbocoIPDB) ou para gerar a Intel a partir de analisadores internos (como Yara ou Oletools). Ele pode ser integrado facilmente na sua pilha de ferramentas de segurança (Pyintelowl) para automatizar os trabalhos comuns geralmente realizados, por exemplo, pelos analistas do SOC manualmente. |
| Portal de Inteligência de Ameaças Kaspersky | Um site que fornece uma base de conhecimento que descreve ameaças cibernéticas, objetos legítimos e seus relacionamentos, reunidos em um único serviço da web. A inscrição no Portal de Inteligência de Ameaças do Kaspersky Lab fornece um único ponto de entrada em quatro serviços complementares: Feeds de dados de ameaças Kaspersky, relatórios de inteligência de ameaças, pesquisa de ameaças Kaspersky e caixa de areia de pesquisa Kaspersky, todos disponíveis em formatos legíveis por homens e leitores de máquina. |
| Malstrom | Malstrom pretende ser um repositório para rastreamento de ameaças e artefatos forenses, mas também armazena regras e notas Yara para investigação. NOTA: O projeto do GitHub foi arquivado (nenhuma nova contribuições aceitas). |
| Manati | O projeto Manati auxilia o analista de ameaças empregando técnicas de aprendizado de máquina que encontram novos relacionamentos e inferências automaticamente. |
| Mantis | A análise baseada em modelo de fontes de inteligência de ameaças (MANTIS) Cyber Ameak Intelligence Management Framework apóia o gerenciamento da inteligência de ameaças cibernéticas expressas em vários idiomas padrão, como Stix e Cybox. No entanto, não está * pronto para a produção em larga escala. |
| Megatron | O Megatron é uma ferramenta implementada pelo CERT-SE que coleta e analisa IPS ruim, pode ser usada para calcular estatísticas, converter e analisar arquivos de log e em abuso e manuseio de incidentes. |
| Minemeld | Uma estrutura extensível de processamento de inteligência de ameaças criou redes Palo Alto. Pode ser usado para manipular listas de indicadores e transformar e/ou agregá -los para consumo por infraestrutura de aplicação de terceiros. |
| Misp | A plataforma de compartilhamento de informações sobre malware (MISP) é uma solução de software de código aberto para coletar, armazenar, distribuir e compartilhar indicadores de segurança cibernética e análise de malware. |
| n6 | N6 (troca de incidentes de segurança de rede) é um sistema para coletar, gerenciar e distribuir informações de segurança em larga escala. A distribuição é realizada através de uma API REST simples e uma interface da Web que os usuários autorizados podem usar para receber vários tipos de dados, em particular informações sobre ameaças e incidentes em suas redes. É desenvolvido pelo Cert Polska. |
| OpenCti | A OpenCti, a plataforma aberta de inteligência de ameaças cibernéticas, permite que as organizações gerenciem seus conhecimentos e observáveis de inteligência de ameaças cibernéticas. Seu objetivo é estruturar, armazenar, organizar e visualizar informações técnicas e não técnicas sobre ameaças cibernéticas. Os dados são estruturados em torno de um esquema de conhecimento com base nos padrões Stix2. OpenCti pode ser integrado a outras ferramentas e plataformas, incluindo MISP, The Hive e Mitre ATT & CK, AO |
| Openioc | Openioc é uma estrutura aberta para compartilhar a inteligência de ameaças. Ele foi projetado para trocar informações de ameaças interna e externamente em um formato digerível de máquina. |
| OPENTAXII | Opentaxii é uma implementação robusta do Python de serviços de táxi que oferece um rico conjunto de recursos e uma API pitônica amigável construída sobre um aplicativo bem projetado. |
| Ostrica | Uma estrutura orientada para o plug-in de código aberto para coletar e visualizar informações de inteligência de ameaças. |
| OTX - troca de ameaças abertas | O AlienVault Open Threat Exchange (OTX) fornece acesso aberto a uma comunidade global de pesquisadores de ameaças e profissionais de segurança. Ele fornece dados de ameaças gerados pela comunidade, permite pesquisas colaborativas e automatiza o processo de atualização de sua infraestrutura de segurança com dados de ameaças de qualquer fonte. |
| Troca de parceiros de ameaça aberta | A troca de parceiros de ameaças abertas (OPENTPX) consiste em um formato e ferramentas de código aberto para trocar dados de inteligência de ameaças e segurança de máquina e dados de operações de segurança. É um formato baseado em JSON que permite o compartilhamento de dados entre os sistemas conectados. |
| Passivetotal | A plataforma passivetotal oferecida pelo RiskIQ é uma plataforma de análise de ameaças que fornece aos analistas o máximo de dados possível para evitar ataques antes que eles aconteçam. Vários tipos de soluções são oferecidos, bem como integrações (APIs) com outros sistemas. |
| Pulsedivo | O Pulsedive é uma plataforma gratuita de inteligência de ameaças comunitárias que está consumindo feeds de código aberto, enriquecendo os COI e executando-os através de um algoritmo de pontuação de risco para melhorar a qualidade dos dados. Ele permite que os usuários enviem, pesquisassem, correlacionem e atualizem o IOCS; Lista "fatores de risco" para o motivo pelo qual os COI são um risco maior; and provides a high level view of threats and threat activity. |
| Recorded Future | Recorded Future is a premium SaaS product that automatically unifies threat intelligence from open, closed, and technical sources into a single solution. Their technology uses natural language processing (NLP) and machine learning to deliver that threat intelligence in real time — making Recorded Future a popular choice for IT security teams. |
| Scumblr | Scumblr is a web application that allows performing periodic syncs of data sources (such as Github repositories and URLs) and performing analysis (such as static analysis, dynamic checks, and metadata collection) on the identified results. Scumblr helps you streamline proactive security through an intelligent automation framework to help you identify, track, and resolve security issues faster. |
| STAXX (Anomali) | Anomali STAXX™ gives you a free, easy way to subscribe to any STIX/TAXII feed. Simply download the STAXX client, configure your data sources, and STAXX will handle the rest. |
| stoQ | stoQ is a framework that allows cyber analysts to organize and automate repetitive, data-driven tasks. It features plugins for many other systems to interact with. One use case is the extraction of IOCs from documents, an example of which is shown here, but it can also be used for deobfuscationg and decoding of content and automated scanning with YARA, for example. |
| TARDIS | The Threat Analysis, Reconnaissance, and Data Intelligence System (TARDIS) is an open source framework for performing historical searches using attack signatures. |
| AmeansConnect | ThreatConnect is a platform with threat intelligence, analytics, and orchestration capabilities. It is designed to help you collect data, produce intelligence, share it with others, and take action on it. |
| ThreatCrowd | ThreatCrowd is a system for finding and researching artefacts relating to cyber threats. |
| ThreatPipes | Stay two steps ahead of your adversaries. Get a complete picture of how they will exploit you. ThreatPipes is a reconnaissance tool that automatically queries 100's of data sources to gather intelligence on IP addresses, domain names, e-mail addresses, names and more. You simply specify the target you want to investigate, pick which modules to enable and then ThreatPipes will collect data to build up an understanding of all the entities and how they relate to each other. |
| ThreatExchange | Facebook created ThreatExchange so that participating organizations can share threat data using a convenient, structured, and easy-to-use API that provides privacy controls to enable sharing with only desired groups. This project is still in beta . Reference code can be found at GitHub. |
| TypeDB CTI | TypeDB Data - CTI is an open source threat intelligence platform for organisations to store and manage their cyber threat intelligence (CTI) knowledge. It enables threat intel professionals to bring together their disparate CTI information into one database and find new insights about cyber threats. This repository provides a schema that is based on STIX2, and contains MITRE ATT&CK as an example dataset to start exploring this threat intelligence platform. More in this blog post. |
| VirusBay | VirusBay is a web-based, collaboration platform that connects security operations center (SOC) professionals with relevant malware researchers. |
| threatnote.io | The new and improved threatnote.io - A tool for CTI analysts and teams to manage intel requirements, reporting, and CTI processes in an all-in-one platform |
| XFE - X-Force Exchange | The X-Force Exchange (XFE) by IBM XFE is a free SaaS product that you can use to search for threat intelligence information, collect your findings, and share your insights with other members of the XFE community. |
| Yeti | The open, distributed, machine and analyst-friendly threat intelligence repository. Made by and for incident responders. |
All kinds of tools for parsing, creating and editing Threat Intelligence. Mostly IOC based.
| ActorTrackr | ActorTrackr is an open source web application for storing/searching/linking actor related data. The primary sources are from users and various public repositories. Source available on GitHub. |
| AIEngine | AIEngine is a next generation interactive/programmable Python/Ruby/Java/Lua packet inspection engine with capabilities of learning without any human intervention, NIDS(Network Intrusion Detection System) functionality, DNS domain classification, network collector, network forensics and many others. |
| AIOCRIOC | Artificial Intelligence Ocular Character Recognition Indicator of Compromise (AIOCRIOC) is a tool that combines web scraping, the OCR capabilities of Tesseract and OpenAI compatible LLM API's such as GPT-4 to parse and extract IOCs from reports and other web content including embedded images with contextual data. |
| Analyze (Intezer) | Analyze is an all-in-one malware analysis platform that is able to perform static, dynamic, and genetic code analysis on all types of files. Users can track malware families, extract IOCs/MITRE TTPs, and download YARA signatures. There is a community edition to get started for free. |
| Automater | Automater is a URL/Domain, IP Address, and Md5 Hash OSINT tool aimed at making the analysis process easier for intrusion Analysts. |
| BlueBox | BlueBox is an OSINT solution to get threat intelligence data about a specific file, an IP, a domain or URL and analyze them. |
| BotScout | BotScout helps prevent automated web scripts, known as "bots", from registering on forums, polluting databases, spreading spam, and abusing forms on web sites. |
| bro-intel-generator | Script for generating Bro intel files from pdf or html reports. |
| cabby | A simple Python library for interacting with TAXII servers. |
| cacador | Cacador is a tool written in Go for extracting common indicators of compromise from a block of text. |
| Combinar | Combine gathers Threat Intelligence Feeds from publicly available sources. |
| CrowdFMS | CrowdFMS is a framework for automating collection and processing of samples from VirusTotal, by leveraging the Private API system. The framework automatically downloads recent samples, which triggered an alert on the users YARA notification feed. |
| CyberGordon | CyberGordon is a threat intelligence search engine. It leverages 30+ sources. |
| CyBot | CyBot is a threat intelligence chat bot. It can perform several types of lookups offered by custom modules. |
| Cuckoo Sandbox | Cuckoo Sandbox is an automated dynamic malware analysis system. It's the most well-known open source malware analysis sandbox around and is frequently deployed by researchers, CERT/SOC teams, and threat intelligence teams all around the globe. For many organizations Cuckoo Sandbox provides a first insight into potential malware samples. |
| Fenrir | Simple Bash IOC Scanner. |
| FireHOL IP Aggregator | Application for keeping feeds from FireHOL blocklist-ipsets with IP addresses appearance history. HTTP-based API service is developed for search requests. |
| Forager | Multithreaded threat intelligence hunter-gatherer script. |
| Gigasheet | Gigasheet is a SaaS product used to analyze massive, and disparate cybersecurity data sets. Import massive log files, netflow, pcaps, big CSVs and more. |
| GoatRider | GoatRider is a simple tool that will dynamically pull down Artillery Threat Intelligence Feeds, TOR, AlienVaults OTX, and the Alexa top 1 million websites and do a comparison to a hostname file or IP file. |
| Google APT Search Engine | APT Groups, Operations and Malware Search Engine. The sources used for this Google Custom Search are listed on this GitHub gist. |
| GOSINT | The GOSINT framework is a free project used for collecting, processing, and exporting high quality public indicators of compromise (IOCs). |
| hashdd | A tool to lookup related information from crytographic hash value |
| Harbinger Threat Intelligence | Python script that allows to query multiple online threat aggregators from a single interface. |
| Hippocampe | Hippocampe aggregates threat feeds from the Internet in an Elasticsearch cluster. It has a REST API which allows to search into its 'memory'. It is based on a Python script which fetchs URLs corresponding to feeds, parses and indexes them. |
| Hiryu | A tool to organize APT campaign information and to visualize relations between IOCs. |
| IOC Editor | A free editor for Indicators of Compromise (IOCs). |
| IOC Finder | Python library for finding indicators of compromise in text. Uses grammars rather than regexes for improved comprehensibility. As of February, 2019, it parses over 18 indicator types. |
| IOC Fanger (and Defanger) | Python library for fanging (`hXXp://example[.]com` => `http://example.com`) and defanging (`http://example.com` => `hXXp://example[.]com`) indicators of compromise in text. |
| ioc_parser | Tool to extract indicators of compromise from security reports in PDF format. |
| ioc_writer | Provides a Python library that allows for basic creation and editing of OpenIOC objects. |
| iocextract | Extracts URLs, IP addresses, MD5/SHA hashes, email addresses, and YARA rules from text corpora. Includes some encoded and “defanged” IOCs in the output, and optionally decodes/refangs them. |
| IOCextractor | IOC (Indicator of Compromise) Extractor is a program to help extract IOCs from text files. The general goal is to speed up the process of parsing structured data (IOCs) from unstructured or semi-structured data |
| ibmxforceex.checker.py | Python client for the IBM X-Force Exchange. |
| jager | Jager is a tool for pulling useful IOCs (indicators of compromise) out of various input sources (PDFs for now, plain text really soon, webpages eventually) and putting them into an easy to manipulate JSON format. |
| Kaspersky CyberTrace | Threat intelligence fusion and analysis tool that integrates threat data feeds with SIEM solutions. Users can immediately leverage threat intelligence for security monitoring and incident report (IR) activities in the workflow of their existing security operations. |
| KLara | KLara, a distributed system written in Python, allows researchers to scan one or more Yara rules over collections with samples, getting notifications by e-mail as well as the web interface when scan results are ready. |
| libtaxii | A Python library for handling TAXII Messages invoking TAXII Services. |
| Loki | Simple IOC and Incident Response Scanner. |
| LookUp | LookUp is a centralized page to get various threat information about an IP address. It can be integrated easily into context menus of tools like SIEMs and other investigative tools. |
| Machinae | Machinae is a tool for collecting intelligence from public sites/feeds about various security-related pieces of data: IP addresses, domain names, URLs, email addresses, file hashes and SSL fingerprints. |
| MalPipe | Amodular malware (and indicator) collection and processing framework. It is designed to pull malware, domains, URLs and IP addresses from multiple feeds, enrich the collected data and export the results. |
| MISP Workbench | Tools to export data out of the MISP MySQL database and use and abuse them outside of this platform. |
| MISP-Taxii-Server | A set of configuration files to use with EclecticIQ's OpenTAXII implementation, along with a callback for when data is sent to the TAXII Server's inbox. |
| MSTIC Jupyter and Python Security Tools | msticpy is a library for InfoSec investigation and hunting in Jupyter Notebooks. |
| nyx | The goal of this project is to facilitate distribution of Threat Intelligence artifacts to defensive systems and to enhance the value derived from both open source and commercial tools. |
| OneMillion | Python library to determine if a domain is in the Alexa or Cisco top, one million domain lists. |
| openioc-to-stix | Generate STIX XML from OpenIOC XML. |
| Omnibus | Omnibus is an interactive command line application for collecting and managing IOCs/artifacts (IPs, Domains, Email Addresses, Usernames, and Bitcoin Addresses), enriching these artifacts with OSINT data from public sources, and providing the means to store and access these artifacts in a simple way. |
| OSTIP | A homebrew threat data platform. |
| poortego | Open-source project to handle the storage and linking of open-source intelligence (ala Maltego, but free as in beer and not tied to a specific / proprietary database). Originally developed in ruby, but new codebase completely rewritten in python. |
| PyIOCe | PyIOCe is an IOC editor written in Python. |
| QRadio | QRadio is a tool/framework designed to consolidate cyber threats intelligence sources. The goal of the project is to establish a robust modular framework for extraction of intelligence data from vetted sources. |
| rastrea2r | Collecting & Hunting for Indicators of Compromise (IOC) with gusto and style! |
| Redline | A host investigations tool that can be used for, amongst others, IOC analysis. |
| RITA | Real Intelligence Threat Analytics (RITA) is intended to help in the search for indicators of compromise in enterprise networks of varying size. |
| Softrace | Lightweight National Software Reference Library RDS storage. |
| sqhunter | Threat hunter based on osquery, Salt Open and Cymon API. It can query open network sockets and check them against threat intelligence sources |
| SRA TAXII2 Server | Full TAXII 2.0 specification server implemented in Node JS with MongoDB backend. |
| Stixvalidator.com | Stixvalidator.com is an online free STIX and STIX2 validator service. |
| Stixview | Stixview is a JS library for embeddable interactive STIX2 graphs. |
| stix-viz | STIX Visualization Tool. |
| TAXII Test Server | Allows you to test your TAXII environment by connecting to the provided services and performing the different functions as written in the TAXII specifications. |
| threataggregator | ThreatAggregrator aggregates security threats from a number of online sources, and outputs to various formats, including CEF, Snort and IPTables rules. |
| threatcrowd_api | Python Library for ThreatCrowd's API. |
| threatcmd | Cli interface to ThreatCrowd. |
| Threatelligence | Threatelligence is a simple cyber threat intelligence feed collector, using Elasticsearch, Kibana and Python to automatically collect intelligence from custom or public sources. Automatically updates feeds and tries to further enhance data for dashboards. Projects seem to be no longer maintained, however. |
| ThreatIngestor | Flexible, configuration-driven, extensible framework for consuming threat intelligence. ThreatIngestor can watch Twitter, RSS feeds, and other sources, extract meaningful information like C2 IPs/domains and YARA signatures, and send that information to other systems for analysis. |
| ThreatPinch Lookup | An extension for Chrome that creates hover popups on every page for IPv4, MD5, SHA2, and CVEs. It can be used for lookups during threat investigations. |
| ThreatTracker | A Python script designed to monitor and generate alerts on given sets of IOCs indexed by a set of Google Custom Search Engines. |
| threat_intel | Several APIs for Threat Intelligence integrated in a single package. Included are: OpenDNS Investigate, VirusTotal and ShadowServer. |
| Threat-Intelligence-Hunter | TIH is an intelligence tool that helps you in searching for IOCs across multiple openly available security feeds and some well known APIs. The idea behind the tool is to facilitate searching and storing of frequently added IOCs for creating your own local database of indicators. |
| tiq-test | The Threat Intelligence Quotient (TIQ) Test tool provides visualization and statistical analysis of TI feeds. |
| YETI | YETI is a proof-of-concept implementation of TAXII that supports the Inbox, Poll and Discovery services defined by the TAXII Services Specification. |
All kinds of reading material about Threat Intelligence. Includes (scientific) research and whitepapers.
| APT & Cyber Criminal Campaign Collection | Extensive collection of (historic) campaigns. Entries come from various sources. |
| APTnotes | A great collection of sources regarding Advanced Persistent Threats (APTs). These reports usually include strategic and tactical knowledge or advice. |
| ATT&CK | Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) is a model and framework for describing the actions an adversary may take while operating within an enterprise network. ATT&CK is a constantly growing common reference for post-access techniques that brings greater awareness of what actions may be seen during a network intrusion. MITRE is actively working on integrating with related construct, such as CAPEC, STIX and MAEC. |
| Building Threat Hunting Strategies with the Diamond Model | Blogpost by Sergio Caltagirone on how to develop intelligent threat hunting strategies by using the Diamond Model. |
| Cyber Analytics Repository by MITRE | The Cyber Analytics Repository (CAR) is a knowledge base of analytics developed by MITRE based on the Adversary Tactics, Techniques, and Common Knowledge (ATT&CK™) threat model. |
| Cyber Threat Intelligence Capability Maturity Model (CTI-CMM) | A new Cyber Threat Intelligence Capability Maturity Model (CTI-CMM) using a stakeholder-first approach and aligned with the Cybersecurity Capability Maturity Model (C2M2) to empower your team and create lasting value. |
| Cyber Threat Intelligence Repository by MITRE | The Cyber Threat Intelligence Repository of ATT&CK and CAPEC catalogs expressed in STIX 2.0 JSON. |
| Cyber Threat Intelligence: A Product Without a Process? | A research paper describing how current cyber threat intelligence products fall short and how they can be improved by introducing and evaluating sound methodologies and processes. |
| Definitive Guide to Cyber Threat Intelligence | Describes the elements of cyber threat intelligence and discusses how it is collected, analyzed, and used by a variety of human and technology consumers. Further examines how intelligence can improve cybersecurity at tactical, operational, and strategic levels, and how it can help you stop attacks sooner, improve your defenses, and talk more productively about cybersecurity issues with executive management in typical for Dummies style. |
| The Detection Maturity Level (DML) | The DML model is a capability maturity model for referencing ones maturity in detecting cyber attacks. It's designed for organizations who perform intel-driven detection and response and who put an emphasis on having a mature detection program. The maturity of an organization is not measured by it's ability to merely obtain relevant intelligence, but rather it's capacity to apply that intelligence effectively to detection and response functions. |
| The Diamond Model of Intrusion Analysis | This paper presents the Diamond Model, a cognitive framework and analytic instrument to support and improve intrusion analysis. Supporting increased measurability, testability and repeatability in intrusion analysis in order to attain higher effectivity, efficiency and accuracy in defeating adversaries is one of its main contributions. |
| The Targeting Process: D3A and F3EAD | F3EAD is a military methodology for combining operations and intelligence. |
| Guide to Cyber Threat Information Sharing by NIST | The Guide to Cyber Threat Information Sharing (NIST Special Publication 800-150) assists organizations in establishing computer security incident response capabilities that leverage the collective knowledge, experience, and abilities of their partners by actively sharing threat intelligence and ongoing coordination. The guide provides guidelines for coordinated incident handling, including producing and consuming data, participating in information sharing communities, and protecting incident-related data. |
| Intelligence Preparation of the Battlefield/Battlespace | This publication discusses intelligence preparation of the battlespace (IPB) as a critical component of the military decision making and planning process and how IPB supports decision making, as well as integrating processes and continuing activities. |
| Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains | The intrusion kill chain as presented in this paper provides one with a structured approach to intrusion analysis, indicator extraction and performing defensive actions. |
| ISAO Standards Organization | The ISAO Standards Organization is a non-governmental organization established on October 1, 2015. Its mission is to improve the Nation's cybersecurity posture by identifying standards and guidelines for robust and effective information sharing related to cybersecurity risks, incidents, and best practices. |
| Joint Publication 2-0: Joint Intelligence | This publication by the US army forms the core of joint intelligence doctrine and lays the foundation to fully integrate operations, plans and intelligence into a cohesive team. The concepts presented are applicable to (Cyber) Threat Intelligence too. |
| Microsoft Research Paper | A framework for cybersecurity information sharing and risk reduction. A high level overview paper by Microsoft. |
| MISP Core Format (draft) | This document describes the MISP core format used to exchange indicators and threat information between MISP (Malware Information and threat Sharing Platform) instances. |
| NECOMA Project | The Nippon-European Cyberdefense-Oriented Multilayer threat Analysis (NECOMA) research project is aimed at improving threat data collection and analysis to develop and demonstratie new cyberdefense mechanisms. As part of the project several publications and software projects have been published. |
| Pyramid of Pain | The Pyramid of Pain is a graphical way to express the difficulty of obtaining different levels of indicators and the amount of resources adversaries have to expend when obtained by defenders. |
| Structured Analytic Techniques For Intelligence Analysis | This book contains methods that represent the most current best practices in intelligence, law enforcement, homeland security, and business analysis. |
| Threat Intelligence: Collecting, Analysing, Evaluating | This report by MWR InfoSecurity clearly describes several different types of threat intelligence, including strategic, tactical and operational variations. It also discusses the processes of requirements elicitation, collection, analysis, production and evaluation of threat intelligence. Also included are some quick wins and a maturity model for each of the types of threat intelligence defined by MWR InfoSecurity. |
| Threat Intelligence Sharing Platforms: An Exploratory Study of Software Vendors and Research Perspectives | A systematic study of 22 Threat Intelligence Sharing Platforms (TISP) surfacing eight key findings about the current state of threat intelligence usage, its definition and TISPs. |
| Traffic Light Protocol | The Traffic Light Protocol (TLP) is a set of designations used to ensure that sensitive information is shared with the correct audience. It employs four colors to indicate different degrees of sensitivity and the corresponding sharing considerations to be applied by the recipient(s). |
| Unit42 Playbook Viewer | The goal of the Playbook is to organize the tools, techniques, and procedures that an adversary uses into a structured format, which can be shared with others, and built upon. The frameworks used to structure and share the adversary playbooks are MITRE's ATT&CK Framework and STIX 2.0 |
| Who's Using Cyberthreat Intelligence and How? | A whitepaper by the SANS Institute describing the usage of Threat Intelligence including a survey that was performed. |
| WOMBAT Project | The WOMBAT project aims at providing new means to understand the existing and emerging threats that are targeting the Internet economy and the net citizens. To reach this goal, the proposal includes three key workpackages: (i) real time gathering of a diverse set of security related raw data, (ii) enrichment of this input by means of various analysis techniques, and (iii) root cause identification and understanding of the phenomena under scrutiny. |
Licensed under Apache License 2.0.
