Загрузка awesome threat intelligence - Загрузка исходного кода awesome threat intelligence

Удивительная угроза

Кураторский список удивительных ресурсов для разведки угроз

Краткое определение интеллекта угроз: основанные на фактических данных знания, включая контекст, механизмы, индикаторы, последствия и действенные советы, о существующей или возникающей угрозе или опасности для активов, которые можно использовать для информирования решений, касающихся ответа субъекта на эту угрозу или опасность .

Не стесняйтесь вносить свой вклад.

Источники
Форматы
Фреймворки и платформы
Инструменты
Исследования, стандарты и книги

Источники

Большинство ресурсов, перечисленных ниже, предоставляют списки и/или API для получения (надежды) актуальной информации в отношении угроз. Некоторые считают эти источники как интеллект угроз, мнения различаются, однако. Для создания истинной интеллекта угроз необходимо определенное количество (домена или бизнес-специфического) анализа.

ObseiPdb	ObseiPDB - это проект, посвященный помощи в борьбе с распространением хакеров, спамеров и оскорбительной деятельности в Интернете. Его миссия состоит в том, чтобы помочь сделать веб -сайт более безопасным, предоставив центральный черный список для веб -мастеров, системных администраторов и других заинтересованных сторон, чтобы сообщать и найти IP -адреса, которые были связаны с злонамеренной деятельностью в Интернете.
Alexa Top 1 миллион сайтов	Лучшие 1 миллион сайтов от Amazon (Alexa). Никогда не используйте это как белый список.
Удачные группы и операции	Электронная таблица, содержащая информацию и интеллект о APT -группах, операциях и тактике.
Бинарная защита IP Banlist	Бинарные системы обороны артиллерийские артиллерийские интеллекты и IP Banlist Feed.
Рейтинг BGP	Рейтинг ASN, имеющих самый злонамеренный контент.
Ботнер трекер	Отслеживает несколько активных ботнеров.
Botvrij.eu	Botvrij.eu предоставляет различные наборы IOC с открытым исходным кодом, которые вы можете использовать в своих устройствах безопасности для обнаружения возможной злонамеренной деятельности.
BruteForceBlocker	BruteForceBlocker - это скрипт PERL, который контролирует журналы SSHD сервера и идентифицирует атаки грубых сил, которые он затем использует для автоматической настройки правил блокировки брандмауэра и отправить эти IPS обратно на сайт проекта, http://danger.rulez.sk/projects/bruteforceblocker/blist.php.
C & C Tracker	Рынок известных, активных и не сбольных IP-адресов C & C, от Bambenek Consulting. Требуется лицензия на коммерческое использование.
CertStream	Поток обновления журнала прозрачности в реальном времени. См. Сертификаты SSL, как они выпускаются в режиме реального времени.
CCSS Forum Malware сертификаты	Ниже приведен список цифровых сертификатов, о которых сообщалось Форум, как возможно, связанное с вредоносными программами с различными органами сертификатов. Эта информация предназначена для того, чтобы помочь компаниям использовать цифровые сертификаты для добавления легитимности в вредоносные программы и поощрять оперативный отзыв таких сертификатов.
Список армии CI	Подмножество коммерческих списков CINS, сфокусированный на плохо оцененных IPS, которые в настоящее время не присутствуют на других угрозах.
Cisco Umbrella	Вероятный белый список из 1 миллиона участков, разрешенных Cisco Umbrella (был Opendns).
Облачное сканирование вируса	Облачные файлы сканирования вирусов, URL -адреса и облачное хранилище для вирусов для вирусов. Они используют постоянно обновляемые подписи для миллионов угроз и расширенных возможностей для высокопроизводительного сканирования. Служба бесплатна, но требует, чтобы вы зарегистрировались на учетную запись, чтобы получить свой личный ключ API.
Crowdsec Console	Самый большой краудсорсинговый CTI, обновленный почти в режиме реального времени, благодаря Crowdsec, следующему поколению, с открытым исходным кодом, бесплатным и совместным программным обеспечением IPS/IPS. Crowdsec может анализировать поведение посетителей и обеспечить адаптированный ответ на все виды атак. Пользователи могут поделиться своими предупреждениями об угрозах с сообществом и извлечь выгоду из сети. IP -адреса собираются из реальных атак и не поступают исключительно из сети Honeypot.
Кибер -лечение Free Entelligence Feeds	Cyber Cure предлагает бесплатные каналы интеллекта киберугроз со списками IP -адресов, которые в настоящее время заражены и атакуют в Интернете. Существует список URL -адресов, используемых вредоносными программами и списком хэш -файлов известных вредоносных программ, которые в настоящее время распространяются. Cybercure использует датчики для сбора интеллекта с очень низкой ложной положительной скоростью. Подробная документация также доступна.
Cyware угрозы, интеллектуальные каналы	Cyware Intelligence Feeds приносит вам ценные данные об угрозах из широкого спектра открытых и надежных источников для предоставления консолидированного потока ценного и действенного интеллекта угроз. Наша угроза Intel Feeds полностью совместимы с Stix 1.x и 2.0, что дает вам последнюю информацию о хэши, IP и доменах вредоносных программ, обнаруженных по всему миру в режиме реального времени.
Dataplane.org	DataPlane.org-это интернет-данные, ресурсы, работающие в Интернете, для операторов. Мы предоставляем надежное и заслуживающее доверия услуги бесплатно.
Focsec.com	FOCSEC.com предоставляет API для обнаружения VPN, прокси, ботов и запросов TOR. Всегда обновленные данные помогают обнаружить подозрительные логины, мошенничество и злоупотребления. Примеры кода можно найти в документации.
Digitalside угроза-Intel	Содержит наборы индикаторов интеллекта киберугрозы с открытым исходным кодом, в основном на основе анализа вредоносных программ и скомпрометированных URL -адресов, IPS и доменов. Цель этого проекта - разработка и тестирование новых способов охоты, анализа, сбора и обмена соответствующими МОК, которые будут использоваться SOC/CSIRT/CERT/FERSITY с минимальными усилиями. Отчеты обмениваются тремя способами: stix2, csv и misp. Отчеты опубликованы также в репозитории проекта GIT.
Одноразовые домены электронной почты	Коллекция анонимных или располагаемых доменов электронной почты обычно используется для служб спама/злоупотребления.
DNS Trails	Источник бесплатного интеллекта для текущей и исторической информации DNS, информация WHOIS, поиск других веб -сайтов, связанных с определенными IP, знаниями и технологиями поддожа. Доступно также доступен API IP и доменного интеллекта.
Новые угрозы Правила брандмауэра	Коллекция правил для нескольких видов брандмауэров, включая iptables, PF и Pix.
Новые угрозы идентификационные правила	Коллекция файлов правил Snort и Suricata, которые можно использовать для оповещения или блокировки.
Экзонератор	Служба Exonerator поддерживает базу данных IP -адресов, которые были частью сети TOR. Он отвечает на вопрос, была ли реле TOR, работающее по данному IP -адресу в данную дату.
Эксплуататат	Список последних выпущенных эксплойтов.
FastIntercept	Перехват безопасности проводит ряд бесплатных списков репутации IP из своей глобальной сети Honeypot.
Зевс Трекер	Feodo Tracker Oslize.ch отслеживает троян Feodo.
Списки IP Firehol	400+ общедоступных IP-каналов, проанализированные для документирования их эволюции, гео-карты, возраста IPS, политики удержания, совпадений. Сайт фокусируется на киберпреступности (атаки, злоупотребление, вредоносное ПО).
Frudguard	Frudguard-это услуга, предназначенная для обеспечения простого способа подтверждения использования путем постоянного сбора и анализа интернет-трафика в реальном времени.
СЕРИНА	Greynoise собирает и анализирует данные о активности сканирования в Интернете. Он собирает данные о доброкачественных сканерах, таких как Shodan.io, а также злонамеренные актеры, такие как SSH и Telnet Broms.
Honeydb	HoneyDB предоставляет данные в реальном времени активности HoneyPot. Эти данные поступают из Honeypots, развернутых в Интернете с помощью Honeypy Honeypot. Кроме того, HoneyDB обеспечивает доступ к API к собранной активности HoneyPot, которая также включает агрегированные данные из различных каналов Honeypot Twitter.
Icewater	12 805 бесплатных правил Yara, созданные Project Icewater.
Infosec - Cert -Pa	Сбор и анализ образцов вредоносных программ, сервис BlockList, база данных уязвимостей и многое другое. Создано и управляется Cert-PA.
Последние лаборатории	Открытый, интерактивный и управляемый API портал данных для исследователей безопасности. Поиск большого корпуса образцов файлов, совокупной информации репутации и МОК, извлеченных из общественных источников. Разработка yara с помощью инструментов для создания триггеров, иметь дело с HEX смешанного отбора и генерировать совместимые с Base64 регулярные выражения.
I-Blocklist	I-Blocklist поддерживает несколько типов списков, содержащих IP-адреса, принадлежащие к различным категориям. Некоторые из этих основных категорий включают страны, интернет -провайдеры и организации. Другие списки включают веб -атаки, TOR, Spyware и прокси. Многие из них могут бесплатно использовать и доступны в различных форматах.
Ipsum	IPSUM - это корм для интеллекта угроз, основанный на 30+ различных общедоступных списках подозрительных и/или вредоносных IP -адресов. Все списки автоматически получаются и анализируются на ежедневной (24 часах), и конечный результат подтолкнут к этому репозиторию. Список состоит из IP -адресов вместе с общим количеством (черным) вхождением списка (для каждого). Создано и управляется Мирослава Стампар.
Джеймс Брин Угрозий Форма	Jamesbrine предоставляет ежедневные интеллекты угроз для вредоносных IP -адресов от HoneyPots на международном уровне на облачной и частной инфраструктуре, охватывающих различные протоколы, включая SSH, FTP, RDP, GIT, SNMP и Redis. IOC предыдущего дня доступны в Stix2, а также в дополнительных МОК, таких как подозрительные URI и вновь зарегистрированные домены, которые имеют высокую пробезопасность в фишинговых кампаниях.
Каналы данных о угрозе Касперского	Непрерывно обновляется и информирует свой бизнес или клиентов о рисках и последствиях, связанных с киберугрозами. Данные в реальном времени помогают вам более эффективно смягчить угрозы и защищать от атак еще до того, как они будут запущены. Демонстрационные каналы содержат усеченные наборы IOC (до 1%) по сравнению с коммерческими
Величественный миллион	Вероятный белый список из 1 миллиона веб -сайтов, оцениваемых Majestic. Сайты упорядочены по количеству направляющих подсети. Подробнее о рейтинге можно найти в их блоге.
МАЛДАТАБАЗА	Maldatabase предназначена для того, чтобы помочь в науке о данных и интеллекту для вредоносных программ. При условии, что данные содержат хорошую информацию о других областях, связанных с которыми домены, списке выполненных процессов и отброшенных файлов по каждому образцу. Эти каналы позволяют вам улучшить инструменты мониторинга и безопасности. Бесплатные услуги доступны для исследователей и студентов безопасности.
Малпедия	Основной целью Malpedia является предоставление ресурса для быстрой идентификации и действенного контекста при исследовании вредоносных программ. Открытость для курируемых взносов обеспечивает ответственный уровень качества для содействия значимым и воспроизводимым исследованиям.
Malshare.com	Проект Malshare - это публичное хранилище вредоносных программ, которое предоставляет исследователям бесплатный доступ к образцам.
Меньше	Проект Maltiveerse представляет собой большую и обогащенную базу данных IOC, где можно сделать сложные запросы, и агрегации для изучения кампаний по вредоносным программам и ее инфраструктуры. У этого также есть отличный сервис IOC.
Malwarebazaar	Malwarebazaar - это проект от злоупотреблений .CH с целью обмена образцами вредоносных программ с сообществом Infosec, поставщиками AV и поставщиками интеллектов для угроз.
Список доменов вредоносных программ	Список вредоносных доменов, который также выполняет обратные поиски и перечисляет регистраторов, сосредоточенных на фишингах, троянах и наборах эксплойтов.
Вредоносной патруль	Whatware Patrol предоставляет блокировки, передачи данных и интеллект угроз для компаний всех размеров. Поскольку наша специальность - это интеллект киберугроз, все наши ресурсы уходят за тем, чтобы она имела максимально высокое качество. Мы считаем, что команда безопасности, и ее инструменты так же хороши, как и используемые данные. Это означает, что наши каналы не заполнены царапанными, неверными индикаторами. Мы ценим качество по количеству.
Вредоносная трафик-анализ.net	Этот блог фокусируется на сетевом трафике, связанном с инфекциями вредоносных программ. Содержит упражнения по анализу трафика, учебные пособия, образцы вредоносных программ, файлы PCAP о вредоносном сетевом трафике и технические сообщения в блоге с наблюдениями.
Malwaredomains.com	Проект DNS-BH создает и поддерживает список доменов, которые, как известно, используются для распространения вредоносных программ и шпионских программ. Они могут быть использованы как для обнаружения, так и для профилактики (просьбы DNS).
Metadefender Cloud	Интеллектуальные каналы Metadefender Cloud угроз содержит лучшие новые хаш -подписи вредоносных программ, включая MD5, SHA1 и SHA256. Эти новые злонамеренные хэши были замечены Metadefender Cloud в течение последних 24 часов. Сдачи обновляются ежедневно с недавно обнаруженным и сообщенным вредоносным ПО для обеспечения действенной и своевременной интеллекта угроз.
NetLab Opendata Project	Проект NetLab Opendata был представлен общественности первым на ISC '2016 16 августа 2016 года. В настоящее время мы предоставляем несколько каналов данных, включая DGA, EK, Malcon, Mirai C2, Mirai-Scanner, Hajime-Scanner и Drdos Refuler.
Никакой!	SNMP, SSH, Telnet в черном списке IP из Honeypots Маттео Кантони
Нормальные услуги	Службы Normshield предоставляют тысячи доменов (включая информацию о WHOIS), откуда могут прийти потенциальные фишинговые атаки. Услуги нарушения и черного списка также доступны. Существует бесплатная регистрация для общественных услуг для непрерывного мониторинга.
Угрозы Novasense	Novasense-это Центр разведки угроз Snapt, который предоставляет информацию и инструменты для упреждающей защиты угроз и смягчения атак. Novasense защищает клиентов всех размеров от злоупотреблений, злоупотреблений, ботнетов, атак DOS и многого другого.
Препятствия	Читатель RSS для команд кибербезопасности. Превратите любой блог в структурированный и действенный интеллект угроз.
Открытые кормы	OpenPhish получает URL -адреса от нескольких потоков и анализирует их с использованием своих проприетарных алгоритмов обнаружения фишингов. Есть бесплатные и коммерческие предложения.
0xsi_f33d	Бесплатный сервис для обнаружения возможных фишинговых и вредоносных доменов, в черном списке IPS в португальском киберпространстве.
Фиштанк	Phishtank предоставляет список подозреваемых фишинговых URL. Их данные поступают из Human Reports, но они также принимают внешние каналы, где это возможно. Это бесплатная услуга, но иногда необходима регистрация для ключа API.
Pickupstix	Pickupstix-это корм свободного, открытого исходного кода и некоммерческого интеллекта киберугроз. В настоящее время Pickupstix использует три общественных канала и распространяет около 100 новых произведений интеллекта каждый день. Pickupstix переводит различные каналы в Stix, которые могут общаться с любым сервером TAXII. Данные свободны для использования и являются отличным способом начать использовать интеллект киберугроз.
Изменить угрозу Intel Feed	[Res] Cure - это независимый проект интеллекта угроз, выполненный командой FruxLabs Crack, чтобы улучшить их понимание основной архитектуры распределенных систем, характера интеллекта угроз и того, как эффективно собирать, хранить, потреблять и распределять интеллект угроз. Кормы генерируются каждые 6 часов.
RST облачная угроза Intel Feed	Совокупные индикаторы компромисса, собранные и перекрестные, из многочисленных открытых и поддерживаемых сообществом источников, обогащены и ранжируются с использованием нашей интеллектуальной платформы.
Rutgers в черном списке IPS	IP -список атакующих SSH Brute Force создан из объединенных местных IPS и 2 часов IPS, зарегистрированных на Badip.com и Blocklist.de
Без ICS подозрительные домены	Списки угроз подозрительных доменов по Sans ICS отслеживают подозрительные домены. Он предлагает 3 списка, классифицированные как высокая, средняя или низкая чувствительность, где в списке высокой чувствительности меньше ложных срабатываний, тогда как список низкой чувствительности с большим количеством ложных срабатываний. Существует также утвержденный белый список доменов. Наконец, есть предложенный IP -blacklist от DSHIELD.
SecurityScorecard IOCS	Публичный доступ IOCS из технических сообщений и отчетов в блогах SecurityScoreCard.
Stixify	Ваш аналитик по автоматической интеллекте угроз. Извлеките машину читаемого интеллекта из неструктурированных данных.
подписная база	База данных подписей, используемых в других инструментах NEO23X0.
Проект Spamhaus	Проект Spamhaus содержит несколько угроз, связанных с спамом и вредоносной деятельностью.
Sophoslabs Intelix	Sophoslabs Intelix - это платформа интеллекта угроз, которая поддерживает продукты и партнеры Sophos. Вы можете получить доступ к интеллекту на основе файлового хэша, URL и т. Д., А также отправлять образцы для анализа. Через API REST вы можете легко и быстро добавить этот интеллект угроз в свои системы.
Поступок	Spur предоставляет инструменты и данные для обнаружения VPN, жилых доверенных лиц и ботов. Бесплатный план позволяет пользователям поиск IP и получить свою классификацию, поставщик VPN, популярные геолокации за IP и более полезный контекст.
SSL Blacklist	SSL Blacklist (SSLBL) - это проект, поддерживаемый злоупотреблением. Цель состоит в том, чтобы предоставить список «плохих» SSL -сертификатов, определенных BIRUSE. SSLBL опирается на отпечатки пальцев SHA1 вредоносных сертификатов SSL и предлагает различные черные списки
StatVoo Top 1 миллион сайтов	Вероятный белый список из 1 миллиона веб -сайтов, оцениваемых StatVoo.
Strongarm, от сети Percipient	Strongarm - это черная дыра DNS, которая предпринимает действия по индикаторам компромисса, блокируя команду и управление вредоносными программами. Строительные агрегаты бесплатных каналов индикатора, интегрируются с коммерческими каналами, используют каналы IOC Percipient и управляют DNS -резолюрующими средствами и API для защиты вашей сети и бизнеса. Strongarm бесплатно для личного использования.
Сием правил	Ваша база данных по инженерному обнаружению. Посмотреть, изменять и развернуть правила SIEM для охоты на угрозы и обнаружения.
Талос	Cisco Talos Intelligence Group является одной из крупнейших команд коммерческих интеллектуальных групп в мире, состоящей из исследователей, аналитиков и инженеров мирового класса. Эти команды поддерживаются непревзойденной телеметрией и сложными системами для создания точного, быстрого и действенного интеллекта угроз для клиентов, продуктов и услуг Cisco. Талос защищает клиентов Cisco от известных и возникающих угроз, обнаруживает новые уязвимости в общем программном обеспечении и помешает угрозам в дикой природе, прежде чем они смогут еще больше нанести вред Интернету в целом. Талос поддерживает официальные наборы правил snort.org, clamav и spamcop, в дополнение к выпуску многих инструментов исследования и анализа с открытым исходным кодом. Talos предоставляет простой веб -интерфейс для проверки репутации наблюдаемой.
chegenfeeds.io	cheningfeeds.io перечисляет бесплатные и источники разведки с открытым исходным кодом, предоставляет прямые ссылки на загрузку и живые резюме.
cheningfox.abuse.ch	Agherfox - это свободная платформа от злоупотреблений .CH с целью обмена показателями компромисса (МОК), связанных с вредоносными программами, с сообществом Infosec, поставщиками AV и поставщиками интеллектов для угроз.
Технические блоги и отчеты, по угрозе	Этот источник заполняется контентом из более чем 90 с открытым исходным кодом, блогов безопасности. МОК (индикаторы компромисса) проанализированы в каждом блоге, а содержание блога отформатируется на уценке.
Угроза шума	Угроза Jammer-это услуга API REST, которая позволяет разработчикам, инженерам-безопасности и другим специалистам по ИТ-специалистам получить доступ к высококачественным данным об угрозах из различных источников и интегрировать их в свои приложения с единственной целью обнаружения и блокирования вредоносной деятельности.
Угроза	Agenceminer был создан для освобождения аналитиков из сбора данных и предоставления им портала, на котором они могут выполнять свои задачи, от отчетов о чтении до поворота и обогащения данных. Акцент угрозы не только на индикаторах компромисса (МОК), но и для предоставления аналитикам контекстной информации, связанной с МОК, на которого они смотрят.
Wstnphx вредоносные программы адреса электронной почты	Адреса электронной почты, используемые вредоносными программами, собранными Vvestron Phoronix (WSTNPHX)
Innowattack.today	Moontatact - это бесплатная интеллектуальная платформа, она делится IPS и информацией о подозрительных событиях и атаках. Регистрация бесплатная.
Урлхаус	Urlhaus - это проект от злоупотребления.
Вирус	Virusshare.com - это репозиторий образцов вредоносных программ для предоставления исследователям безопасности, респондентам инцидентов, криминалистических аналитиков и болезненно любопытного доступа к образцам вредоносного кода. Доступ к сайту предоставляется только через приглашение.
Яра-ручки	Репозиторий с открытым исходным кодом с различными подписями Yara, которые составлены, классифицируются и поддерживают как можно более актуально.
1 -й двойной стек.	Mrlooquer создал первый корм для угроз, ориентированный на системы с двойным стеком. Поскольку протокол IPv6 начал участвовать в связи с вредоносными программами и мошенничеством, необходимо обнаружить и смягчить угрозы в обоих протоколах (IPv4 и IPv6).

Форматы

Стандартизированные форматы для обмена интеллектом угроз (в основном МОК).

Капек	Общее перечисление и классификация схемы атаки (CAPEC) представляет собой комплексный словарь и таксономию классификации известных атак, которые могут использоваться аналитиками, разработчиками, тестерами и преподавателями для повышения понимания сообщества и повышения защиты.
Кишечный	Язык кибер -наблюдаемой экспрессии (Cybox) обеспечивает общую структуру для представления кибер -наблюдаемых и среди операционных областей киберпрессовой безопасности предприятия, которая улучшает согласованность, эффективность и совместимость развернутых инструментов и процессов, а также повышает общую ситуационную осведомленность, обеспечивая потенциал для подробного автоматического общего, картирования, обнаружения и анализа.
Iodef (RFC5070)	Формат обмена объекта инцидента (IODEF) определяет представление данных, которое предоставляет основу для обмена информацией, обычно обмененной группами реагирования на инциденты в компьютерной безопасности (CSIRTS) об инцидентах компьютерной безопасности.
Idmef (RFC4765)	Экспериментальный - цель формата обмена сообщениями сообщений об проникновении (IDMEF) состоит в том, чтобы определить форматы данных и процедуры обмена для обмена информацией, представляющей интерес для обнаружения вторжений и систем реагирования, а также для систем управления, которые могут потребоваться взаимодействовать с ними.
Maec	Проекты перечисления и характеристики атрибутов вредоносного ПО (MAEC) направлены на создание и предоставление стандартизированного языка для обмена структурированной информацией о вредоносном ПО, основанном на таких атрибутах, как поведение, артефакты и модели атаки.
OpenC2	Оазис открытый командование и контроль (OpenC2) Технический комитет. Openc2 TC будет основывать свои усилия на артефактах, генерируемых форумом OpenC2. До создания этого TC и спецификации Форум OpenC2 был сообществом заинтересованных сторон кибер-безопасности, которому способствовали Агентство национальной безопасности (АНБ). OpenC2 TC был дипломирован для проекта документов, спецификаций, лексиков или других артефактов для удовлетворения потребностей команды кибербезопасности и контроля стандартизированным образом.
Stix 2.0	Язык структурированного выражения информации о угрозе (Stix) является стандартизированной конструкцией для представления информации о киберугрозах. Язык Stix намеревается передать полный спектр потенциальной информации о киберугрозах и стремится быть полностью выразительным, гибким, расширяемым и автоматическим. Stix не только разрешает ал-нугские поля, но также обеспечивает так называемые механизмы испытаний , которые предоставляют средства для встраивания элементов, специфичных для инструмента, включая OpenIOC, Yara и Snort. Stix 1.x был заархивирован здесь.
Таксии	Стандарт доверенного автоматического обмена информацией индикатора (TAXII) определяет набор услуг и обменов сообщений, которые при реализации позволяют обмениваться действенной информацией о киберубетральной связи по границам организации и продуктов/услуг. Такси определяет концепции, протоколы и обмен сообщениями для обмена информацией о киберугрозах для обнаружения, профилактики и смягчения киберугрог.
Верис	Словарь для записи событий и обмена инцидентами (VERIS) представляет собой набор метрик, предназначенные для обеспечения общего языка для описания инцидентов безопасности в структурированном и повторяемом образом. Veris является ответом на одну из наиболее важных и постоянных проблем в отрасли безопасности - отсутствие качественной информации. В дополнение к предоставлению структурированного формата, Veris также собирает данные от сообщества для сообщений о нарушениях в отчете Verizon Data Breach Destigations (DBIR) и публикует эту базу данных онлайн на github Repository.org.

Фреймворки и платформы

Фреймворки, платформы и услуги для сбора, анализа, создания и обмена интеллектом угроз.

Злоупотребление	AssuseHelper-это рамка с открытым исходным кодом для получения и перераспределения подачи злоупотреблений и угрозы Intel.
Abuseio	Инструментарий для получения, обработки, корреляции и уведомления конечных пользователей о отчетах о злоупотреблениях, тем самым потребляя интеллекты угроз.
Айс	Способность бесплатного автоматического обмена индикаторами (AIS) Агентства по безопасности в области кибербезопасности и инфраструктуры (CISA) позволяет обменять индикаторы киберугроз между федеральным правительством и частным сектором на машинной скорости. Индикаторы угроз - это фрагменты информации, такие как вредоносные IP -адреса или адрес отправителя фишинговой электронной почты (хотя они также могут быть гораздо сложнее).
Бородатый Мститель	Самый быстрый способ потребления интеллекта угроз. Преемник CIF.
Blueliv Wreate Exchange Network	Позволяет участникам делиться индикаторами угроз с сообществом.
Кора	Cortex позволяет наблюдениям, таким как IPS, адреса электронной почты, URL -адреса, доменные имена, файлы или хэши, анализировать один за другим или в объемном режиме с использованием одного веб -интерфейса. Веб -интерфейс выступает в качестве фронта для многочисленных анализаторов, устраняя необходимость интеграции их самостоятельно во время анализа. Аналитики также могут использовать API Cortex REST для автоматизации части своего анализа.
Крит	Crits - это платформа, которая предоставляет аналитикам средства для проведения совместных исследований в отношении вредоносных программ и угроз. Он подключается к централизованному хранилищу данных разведки, но также может использоваться в качестве частного экземпляра.
CIF	Структура коллективного интеллекта (CIF) позволяет объединить известную информацию о злонамеренной угрозе из многих источников и использовать эту информацию для IR, обнаружения и смягчения. Код доступен на GitHub.
Ctix	CTIX-это умная платформа для интеллектуальных угроз клиента (TIP) для приема, обогащения, анализа и двунаправленного обмена данными об угрозах в вашей доверенной сети.
Платформа Eclecticiq	Платформа Eclecticiq-это платформа для интеллекта угроз на основе Stix/Taxii (TIP), которая позволяет аналитикам угроз для проведения более быстрых, лучших и более глубоких расследований при распространении интеллекта в машинной скорости.
Intelmq	IntelMQ - это решение для CERT для сбора и обработки каналов безопасности, пасты, твитов с использованием протокола очереди сообщений. Это инициатива, управляемая сообществом под названием IHAP (проект автоматизации инцидентов), которая была концептуально разработана европейскими сертификатами во время нескольких мероприятий Infosec. Его главная цель - дать респондентам инцидентов простой способ собрать и обработать интеллект угроз, тем самым улучшая процессы обработки инцидентов.
Intelowl	Intel Owl - это решение Osint, чтобы получить данные интеллекта угроз о конкретном файле, IP или домен из одного API в масштабе. Intel Owl состоит из анализаторов, которые можно запустить для извлечения данных из внешних источников (таких как вирустотальный или злодебный) или генерировать Intel от внутренних анализаторов (таких как Yara или Oletools). Он может быть легко интегрирован в вашу стопку инструментов безопасности (PyintEdowl) для автоматизации общих заданий, обычно выполняемых, например, аналитиками SOC вручную.
Касперский портал интеллекта угроз	Веб -сайт, который предоставляет базу знаний, описывающую киберугрозы, законные объекты и их отношения, объединяется в единый веб -сервис. Подписавшись на портал интеллектуальной интеллекта Kaspersky Lab предоставляет вам единую точку входа в четыре дополнительных услугах: каналы данных о угрозах Касперского, отчеты об угрозах, отчетность по интеллекту угроз, поиск угроз Касперского и песочница Kaspersky Research, все это доступно в читаемых человеком и машино читаемых форматах.
Малтром	MALSTROM стремится стать хранилищем для отслеживания угроз и судебных артефактов, но также хранит правила и примечания Yara для расследования. Примечание: проект GitHub был архив (новые взносы не приняты).
Манати	Проект Manati помогает аналитику угроз, используя методы машинного обучения, которые автоматически находят новые отношения и выводы.
БОГОМОЛ	Основанный на модели анализ источников интеллекта угроз (Mantis) структура управления интеллектом для киберугроз поддерживает управление интеллектом киберугроз, выраженной на различных стандартных языках, таких как Stix и Cybox. Это * не * готово к крупномасштабному производству, хотя.
Мегатрон	Мегатрон-это инструмент, реализованный CERT-SE, который собирает и анализирует плохие IPS, может использоваться для расчета статистики, преобразования и анализа файлов журналов и в обработке злоупотреблений и инцидентов.
Minemeld	Расширяемая структура обработки интеллекта угроз создала сети Palo Alto. Его можно использовать для манипулирования списками индикаторов и преобразования и/или агрегирования их для потребления инфраструктурой принуждения сторонних органов.
Неправильно	Платформа обмена информацией о вредоносных программах (MISP) - это программное решение с открытым исходным кодом для сбора, хранения, распределения и обмена индикаторами кибербезопасности и анализа вредоносных программ.
n6	N6 (Exchange Indiuct Seniety Security Exchange) - это система для сбора, управления и распределения информации о безопасности в больших масштабах. Распределение реализуется с помощью простого API REST и веб -интерфейса, который авторизованные пользователи могут использовать для получения различных типов данных, в частности, информации об угрозах и инцидентах в своих сетях. Он разработан Cert Polska.
Opencti	Opencti, открытая платформа для разведки киберугроз, позволяет организациям управлять своими знаниями и наблюдаемыми интеллектами для киберугроз. Его цель состоит в том, чтобы структурировать, хранить, организовать и визуализировать техническую и нетехническую информацию о киберугрозах. Данные структурированы вокруг схемы знаний, основанной на стандартах Stix2. OpenCti может быть интегрирован с другими инструментами и платформами, включая MISP, The Hieh и Miter Att & Ck, AO
Openioc	OpenIOC - это открытая структура для обмена интеллектом угроз. Он предназначен для обмена информацией об угрозах как внутри, так и снаружи в машинном формате.
Opentaxii	OpentaxII - это надежная реализация услуг Toxii Python, которая обеспечивает богатый набор функций и дружеский Pythonic API, созданный на вершине хорошо спроектированного приложения.
Острика	Ориентированная на плагин с открытым исходным кодом структуру для сбора и визуализации информации об интеллекте угроз.
OTX - открытый обмен угрозами	Alienvault Open Exchange (OTX) предоставляет открытый доступ к глобальному сообществу исследователей угроз и специалистов по безопасности. Он обеспечивает генерируемые сообществом данные об угрозах, обеспечивает совместные исследования и автоматизирует процесс обновления вашей инфраструктуры безопасности с помощью данных об угрозах из любого источника.
Обмен партнерами по открытой угрозе	Обмен открытой угрозой Обмен (OPENTPX) состоит из формата с открытым исходным кодом и инструментов для обмена данными об эксплуатации интеллектуальных и операций по безопасности сети. Это формат на основе JSON, который позволяет совместно использовать данные между подключенными системами.
Passivetotal	Платформа Passivetotal, предлагаемая Riskiq, представляет собой платформу анализа угроз, которая предоставляет аналитикам как можно большему количеству данных, чтобы предотвратить атаки, прежде чем они произойдут. Предлагается несколько типов решений, а также интеграции (API) с другими системами.
Пульсив	Pulsedive-это бесплатная платформа для интеллектуальной интеллекта сообщества, которая потребляет каналы с открытым исходным кодом, обогащает МОК и управляет их с помощью алгоритма оценки риска для улучшения качества данных. Это позволяет пользователям отправлять, искать, коррелировать и обновлять МОК; Перечисляет «факторы риска» для того, почему МОК представляют собой более высокий риск; and provides a high level view of threats and threat activity.
Recorded Future	Recorded Future is a premium SaaS product that automatically unifies threat intelligence from open, closed, and technical sources into a single solution. Their technology uses natural language processing (NLP) and machine learning to deliver that threat intelligence in real time — making Recorded Future a popular choice for IT security teams.
Scumblr	Scumblr is a web application that allows performing periodic syncs of data sources (such as Github repositories and URLs) and performing analysis (such as static analysis, dynamic checks, and metadata collection) on the identified results. Scumblr helps you streamline proactive security through an intelligent automation framework to help you identify, track, and resolve security issues faster.
STAXX (Anomali)	Anomali STAXX™ gives you a free, easy way to subscribe to any STIX/TAXII feed. Simply download the STAXX client, configure your data sources, and STAXX will handle the rest.
stoQ	stoQ is a framework that allows cyber analysts to organize and automate repetitive, data-driven tasks. It features plugins for many other systems to interact with. One use case is the extraction of IOCs from documents, an example of which is shown here, but it can also be used for deobfuscationg and decoding of content and automated scanning with YARA, for example.
TARDIS	The Threat Analysis, Reconnaissance, and Data Intelligence System (TARDIS) is an open source framework for performing historical searches using attack signatures.
ThreatConnect	ThreatConnect is a platform with threat intelligence, analytics, and orchestration capabilities. It is designed to help you collect data, produce intelligence, share it with others, and take action on it.
ThreatCrowd	ThreatCrowd is a system for finding and researching artefacts relating to cyber threats.
ThreatPipes	Stay two steps ahead of your adversaries. Get a complete picture of how they will exploit you. ThreatPipes is a reconnaissance tool that automatically queries 100's of data sources to gather intelligence on IP addresses, domain names, e-mail addresses, names and more. You simply specify the target you want to investigate, pick which modules to enable and then ThreatPipes will collect data to build up an understanding of all the entities and how they relate to each other.
ThreatExchange	Facebook created ThreatExchange so that participating organizations can share threat data using a convenient, structured, and easy-to-use API that provides privacy controls to enable sharing with only desired groups. This project is still in beta . Reference code can be found at GitHub.
TypeDB CTI	TypeDB Data - CTI is an open source threat intelligence platform for organisations to store and manage their cyber threat intelligence (CTI) knowledge. It enables threat intel professionals to bring together their disparate CTI information into one database and find new insights about cyber threats. This repository provides a schema that is based on STIX2, and contains MITRE ATT&CK as an example dataset to start exploring this threat intelligence platform. More in this blog post.
VirusBay	VirusBay is a web-based, collaboration platform that connects security operations center (SOC) professionals with relevant malware researchers.
threatnote.io	The new and improved threatnote.io - A tool for CTI analysts and teams to manage intel requirements, reporting, and CTI processes in an all-in-one platform
XFE - X-Force Exchange	The X-Force Exchange (XFE) by IBM XFE is a free SaaS product that you can use to search for threat intelligence information, collect your findings, and share your insights with other members of the XFE community.
Йети	The open, distributed, machine and analyst-friendly threat intelligence repository. Made by and for incident responders.

Инструменты

All kinds of tools for parsing, creating and editing Threat Intelligence. Mostly IOC based.

ActorTrackr	ActorTrackr is an open source web application for storing/searching/linking actor related data. The primary sources are from users and various public repositories. Source available on GitHub.
AIEngine	AIEngine is a next generation interactive/programmable Python/Ruby/Java/Lua packet inspection engine with capabilities of learning without any human intervention, NIDS(Network Intrusion Detection System) functionality, DNS domain classification, network collector, network forensics and many others.
AIOCRIOC	Artificial Intelligence Ocular Character Recognition Indicator of Compromise (AIOCRIOC) is a tool that combines web scraping, the OCR capabilities of Tesseract and OpenAI compatible LLM API's such as GPT-4 to parse and extract IOCs from reports and other web content including embedded images with contextual data.
Analyze (Intezer)	Analyze is an all-in-one malware analysis platform that is able to perform static, dynamic, and genetic code analysis on all types of files. Users can track malware families, extract IOCs/MITRE TTPs, and download YARA signatures. There is a community edition to get started for free.
Automater	Automater is a URL/Domain, IP Address, and Md5 Hash OSINT tool aimed at making the analysis process easier for intrusion Analysts.
BlueBox	BlueBox is an OSINT solution to get threat intelligence data about a specific file, an IP, a domain or URL and analyze them.
BotScout	BotScout helps prevent automated web scripts, known as "bots", from registering on forums, polluting databases, spreading spam, and abusing forms on web sites.
bro-intel-generator	Script for generating Bro intel files from pdf or html reports.
извозчик	A simple Python library for interacting with TAXII servers.
cacador	Cacador is a tool written in Go for extracting common indicators of compromise from a block of text.
Комбинировать	Combine gathers Threat Intelligence Feeds from publicly available sources.
CrowdFMS	CrowdFMS is a framework for automating collection and processing of samples from VirusTotal, by leveraging the Private API system. The framework automatically downloads recent samples, which triggered an alert on the users YARA notification feed.
CyberGordon	CyberGordon is a threat intelligence search engine. It leverages 30+ sources.
CyBot	CyBot is a threat intelligence chat bot. It can perform several types of lookups offered by custom modules.
Cuckoo Sandbox	Cuckoo Sandbox is an automated dynamic malware analysis system. It's the most well-known open source malware analysis sandbox around and is frequently deployed by researchers, CERT/SOC teams, and threat intelligence teams all around the globe. For many organizations Cuckoo Sandbox provides a first insight into potential malware samples.
Fenrir	Simple Bash IOC Scanner.
FireHOL IP Aggregator	Application for keeping feeds from FireHOL blocklist-ipsets with IP addresses appearance history. HTTP-based API service is developed for search requests.
Forager	Multithreaded threat intelligence hunter-gatherer script.
Gigasheet	Gigasheet is a SaaS product used to analyze massive, and disparate cybersecurity data sets. Import massive log files, netflow, pcaps, big CSVs and more.
GoatRider	GoatRider is a simple tool that will dynamically pull down Artillery Threat Intelligence Feeds, TOR, AlienVaults OTX, and the Alexa top 1 million websites and do a comparison to a hostname file or IP file.
Google APT Search Engine	APT Groups, Operations and Malware Search Engine. The sources used for this Google Custom Search are listed on this GitHub gist.
GOSINT	The GOSINT framework is a free project used for collecting, processing, and exporting high quality public indicators of compromise (IOCs).
hashdd	A tool to lookup related information from crytographic hash value
Harbinger Threat Intelligence	Python script that allows to query multiple online threat aggregators from a single interface.
Hippocampe	Hippocampe aggregates threat feeds from the Internet in an Elasticsearch cluster. It has a REST API which allows to search into its 'memory'. It is based on a Python script which fetchs URLs corresponding to feeds, parses and indexes them.
Hiryu	A tool to organize APT campaign information and to visualize relations between IOCs.
IOC Editor	A free editor for Indicators of Compromise (IOCs).
IOC Finder	Python library for finding indicators of compromise in text. Uses grammars rather than regexes for improved comprehensibility. As of February, 2019, it parses over 18 indicator types.
IOC Fanger (and Defanger)	Python library for fanging (`hXXp://example[.]com` => `http://example.com`) and defanging (`http://example.com` => `hXXp://example[.]com`) indicators of compromise in text.
ioc_parser	Tool to extract indicators of compromise from security reports in PDF format.
ioc_writer	Provides a Python library that allows for basic creation and editing of OpenIOC objects.
iocextract	Extracts URLs, IP addresses, MD5/SHA hashes, email addresses, and YARA rules from text corpora. Includes some encoded and “defanged” IOCs in the output, and optionally decodes/refangs them.
IOCextractor	IOC (Indicator of Compromise) Extractor is a program to help extract IOCs from text files. The general goal is to speed up the process of parsing structured data (IOCs) from unstructured or semi-structured data
ibmxforceex.checker.py	Python client for the IBM X-Force Exchange.
jager	Jager is a tool for pulling useful IOCs (indicators of compromise) out of various input sources (PDFs for now, plain text really soon, webpages eventually) and putting them into an easy to manipulate JSON format.
Kaspersky CyberTrace	Threat intelligence fusion and analysis tool that integrates threat data feeds with SIEM solutions. Users can immediately leverage threat intelligence for security monitoring and incident report (IR) activities in the workflow of their existing security operations.
KLara	KLara, a distributed system written in Python, allows researchers to scan one or more Yara rules over collections with samples, getting notifications by e-mail as well as the web interface when scan results are ready.
libtaxii	A Python library for handling TAXII Messages invoking TAXII Services.
Loki	Simple IOC and Incident Response Scanner.
Искать	LookUp is a centralized page to get various threat information about an IP address. It can be integrated easily into context menus of tools like SIEMs and other investigative tools.
Machinae	Machinae is a tool for collecting intelligence from public sites/feeds about various security-related pieces of data: IP addresses, domain names, URLs, email addresses, file hashes and SSL fingerprints.
MalPipe	Amodular malware (and indicator) collection and processing framework. It is designed to pull malware, domains, URLs and IP addresses from multiple feeds, enrich the collected data and export the results.
MISP Workbench	Tools to export data out of the MISP MySQL database and use and abuse them outside of this platform.
MISP-Taxii-Server	A set of configuration files to use with EclecticIQ's OpenTAXII implementation, along with a callback for when data is sent to the TAXII Server's inbox.
MSTIC Jupyter and Python Security Tools	msticpy is a library for InfoSec investigation and hunting in Jupyter Notebooks.
nyx	The goal of this project is to facilitate distribution of Threat Intelligence artifacts to defensive systems and to enhance the value derived from both open source and commercial tools.
OneMillion	Python library to determine if a domain is in the Alexa or Cisco top, one million domain lists.
openioc-to-stix	Generate STIX XML from OpenIOC XML.
Omnibus	Omnibus is an interactive command line application for collecting and managing IOCs/artifacts (IPs, Domains, Email Addresses, Usernames, and Bitcoin Addresses), enriching these artifacts with OSINT data from public sources, and providing the means to store and access these artifacts in a simple way.
OSTIP	A homebrew threat data platform.
poortego	Open-source project to handle the storage and linking of open-source intelligence (ala Maltego, but free as in beer and not tied to a specific / proprietary database). Originally developed in ruby, but new codebase completely rewritten in python.
PyIOCe	PyIOCe is an IOC editor written in Python.
QRadio	QRadio is a tool/framework designed to consolidate cyber threats intelligence sources. The goal of the project is to establish a robust modular framework for extraction of intelligence data from vetted sources.
rastrea2r	Collecting & Hunting for Indicators of Compromise (IOC) with gusto and style!
Redline	A host investigations tool that can be used for, amongst others, IOC analysis.
РИТА	Real Intelligence Threat Analytics (RITA) is intended to help in the search for indicators of compromise in enterprise networks of varying size.
Softrace	Lightweight National Software Reference Library RDS storage.
sqhunter	Threat hunter based on osquery, Salt Open and Cymon API. It can query open network sockets and check them against threat intelligence sources
SRA TAXII2 Server	Full TAXII 2.0 specification server implemented in Node JS with MongoDB backend.
Stixvalidator.com	Stixvalidator.com is an online free STIX and STIX2 validator service.
Stixview	Stixview is a JS library for embeddable interactive STIX2 graphs.
stix-viz	STIX Visualization Tool.
TAXII Test Server	Allows you to test your TAXII environment by connecting to the provided services and performing the different functions as written in the TAXII specifications.
threataggregator	ThreatAggregrator aggregates security threats from a number of online sources, and outputs to various formats, including CEF, Snort and IPTables rules.
threatcrowd_api	Python Library for ThreatCrowd's API.
threatcmd	Cli interface to ThreatCrowd.
Threatelligence	Threatelligence is a simple cyber threat intelligence feed collector, using Elasticsearch, Kibana and Python to automatically collect intelligence from custom or public sources. Automatically updates feeds and tries to further enhance data for dashboards. Projects seem to be no longer maintained, however.
ThreatIngestor	Flexible, configuration-driven, extensible framework for consuming threat intelligence. ThreatIngestor can watch Twitter, RSS feeds, and other sources, extract meaningful information like C2 IPs/domains and YARA signatures, and send that information to other systems for analysis.
ThreatPinch Lookup	An extension for Chrome that creates hover popups on every page for IPv4, MD5, SHA2, and CVEs. It can be used for lookups during threat investigations.
ThreatTracker	A Python script designed to monitor and generate alerts on given sets of IOCs indexed by a set of Google Custom Search Engines.
threat_intel	Several APIs for Threat Intelligence integrated in a single package. Included are: OpenDNS Investigate, VirusTotal and ShadowServer.
Threat-Intelligence-Hunter	TIH is an intelligence tool that helps you in searching for IOCs across multiple openly available security feeds and some well known APIs. The idea behind the tool is to facilitate searching and storing of frequently added IOCs for creating your own local database of indicators.
tiq-test	The Threat Intelligence Quotient (TIQ) Test tool provides visualization and statistical analysis of TI feeds.
ЙЕТИ	YETI is a proof-of-concept implementation of TAXII that supports the Inbox, Poll and Discovery services defined by the TAXII Services Specification.

Research, Standards & Books

All kinds of reading material about Threat Intelligence. Includes (scientific) research and whitepapers.

APT & Cyber Criminal Campaign Collection	Extensive collection of (historic) campaigns. Entries come from various sources.
APTnotes	A great collection of sources regarding Advanced Persistent Threats (APTs). These reports usually include strategic and tactical knowledge or advice.
ATT&CK	Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) is a model and framework for describing the actions an adversary may take while operating within an enterprise network. ATT&CK is a constantly growing common reference for post-access techniques that brings greater awareness of what actions may be seen during a network intrusion. MITRE is actively working on integrating with related construct, such as CAPEC, STIX and MAEC.
Building Threat Hunting Strategies with the Diamond Model	Blogpost by Sergio Caltagirone on how to develop intelligent threat hunting strategies by using the Diamond Model.
Cyber Analytics Repository by MITRE	The Cyber Analytics Repository (CAR) is a knowledge base of analytics developed by MITRE based on the Adversary Tactics, Techniques, and Common Knowledge (ATT&CK™) threat model.
Cyber Threat Intelligence Capability Maturity Model (CTI-CMM)	A new Cyber Threat Intelligence Capability Maturity Model (CTI-CMM) using a stakeholder-first approach and aligned with the Cybersecurity Capability Maturity Model (C2M2) to empower your team and create lasting value.
Cyber Threat Intelligence Repository by MITRE	The Cyber Threat Intelligence Repository of ATT&CK and CAPEC catalogs expressed in STIX 2.0 JSON.
Cyber Threat Intelligence: A Product Without a Process?	A research paper describing how current cyber threat intelligence products fall short and how they can be improved by introducing and evaluating sound methodologies and processes.
Definitive Guide to Cyber Threat Intelligence	Describes the elements of cyber threat intelligence and discusses how it is collected, analyzed, and used by a variety of human and technology consumers. Further examines how intelligence can improve cybersecurity at tactical, operational, and strategic levels, and how it can help you stop attacks sooner, improve your defenses, and talk more productively about cybersecurity issues with executive management in typical for Dummies style.
The Detection Maturity Level (DML)	The DML model is a capability maturity model for referencing ones maturity in detecting cyber attacks. It's designed for organizations who perform intel-driven detection and response and who put an emphasis on having a mature detection program. The maturity of an organization is not measured by it's ability to merely obtain relevant intelligence, but rather it's capacity to apply that intelligence effectively to detection and response functions.
The Diamond Model of Intrusion Analysis	This paper presents the Diamond Model, a cognitive framework and analytic instrument to support and improve intrusion analysis. Supporting increased measurability, testability and repeatability in intrusion analysis in order to attain higher effectivity, efficiency and accuracy in defeating adversaries is one of its main contributions.
The Targeting Process: D3A and F3EAD	F3EAD is a military methodology for combining operations and intelligence.
Guide to Cyber Threat Information Sharing by NIST	The Guide to Cyber Threat Information Sharing (NIST Special Publication 800-150) assists organizations in establishing computer security incident response capabilities that leverage the collective knowledge, experience, and abilities of their partners by actively sharing threat intelligence and ongoing coordination. The guide provides guidelines for coordinated incident handling, including producing and consuming data, participating in information sharing communities, and protecting incident-related data.
Intelligence Preparation of the Battlefield/Battlespace	This publication discusses intelligence preparation of the battlespace (IPB) as a critical component of the military decision making and planning process and how IPB supports decision making, as well as integrating processes and continuing activities.
Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains	The intrusion kill chain as presented in this paper provides one with a structured approach to intrusion analysis, indicator extraction and performing defensive actions.
ISAO Standards Organization	The ISAO Standards Organization is a non-governmental organization established on October 1, 2015. Its mission is to improve the Nation's cybersecurity posture by identifying standards and guidelines for robust and effective information sharing related to cybersecurity risks, incidents, and best practices.
Joint Publication 2-0: Joint Intelligence	This publication by the US army forms the core of joint intelligence doctrine and lays the foundation to fully integrate operations, plans and intelligence into a cohesive team. The concepts presented are applicable to (Cyber) Threat Intelligence too.
Microsoft Research Paper	A framework for cybersecurity information sharing and risk reduction. A high level overview paper by Microsoft.
MISP Core Format (draft)	This document describes the MISP core format used to exchange indicators and threat information between MISP (Malware Information and threat Sharing Platform) instances.
NECOMA Project	The Nippon-European Cyberdefense-Oriented Multilayer threat Analysis (NECOMA) research project is aimed at improving threat data collection and analysis to develop and demonstratie new cyberdefense mechanisms. As part of the project several publications and software projects have been published.
Pyramid of Pain	The Pyramid of Pain is a graphical way to express the difficulty of obtaining different levels of indicators and the amount of resources adversaries have to expend when obtained by defenders.
Structured Analytic Techniques For Intelligence Analysis	This book contains methods that represent the most current best practices in intelligence, law enforcement, homeland security, and business analysis.
Threat Intelligence: Collecting, Analysing, Evaluating	This report by MWR InfoSecurity clearly describes several different types of threat intelligence, including strategic, tactical and operational variations. It also discusses the processes of requirements elicitation, collection, analysis, production and evaluation of threat intelligence. Also included are some quick wins and a maturity model for each of the types of threat intelligence defined by MWR InfoSecurity.
Threat Intelligence Sharing Platforms: An Exploratory Study of Software Vendors and Research Perspectives	A systematic study of 22 Threat Intelligence Sharing Platforms (TISP) surfacing eight key findings about the current state of threat intelligence usage, its definition and TISPs.
Traffic Light Protocol	The Traffic Light Protocol (TLP) is a set of designations used to ensure that sensitive information is shared with the correct audience. It employs four colors to indicate different degrees of sensitivity and the corresponding sharing considerations to be applied by the recipient(s).
Unit42 Playbook Viewer	The goal of the Playbook is to organize the tools, techniques, and procedures that an adversary uses into a structured format, which can be shared with others, and built upon. The frameworks used to structure and share the adversary playbooks are MITRE's ATT&CK Framework and STIX 2.0
Who's Using Cyberthreat Intelligence and How?	A whitepaper by the SANS Institute describing the usage of Threat Intelligence including a survey that was performed.
WOMBAT Project	The WOMBAT project aims at providing new means to understand the existing and emerging threats that are targeting the Internet economy and the net citizens. To reach this goal, the proposal includes three key workpackages: (i) real time gathering of a diverse set of security related raw data, (ii) enrichment of this input by means of various analysis techniques, and (iii) root cause identification and understanding of the phenomena under scrutiny.