ดาวน์โหลด awesome threat intelligence - การดาวน์โหลดซอร์สโค้ด awesome threat intelligence

น่ากลัวที่น่ากลัว

รายการทรัพยากรข่าวกรองภัยคุกคามที่ยอดเยี่ยม

คำจำกัดความที่กระชับของข่าวกรองการคุกคาม: ความรู้ตามหลักฐานรวมถึงบริบทกลไกตัวบ่งชี้ผลกระทบและคำแนะนำที่สามารถดำเนินการได้เกี่ยวกับการคุกคามหรืออันตรายที่เกิดขึ้นหรืออันตรายต่อสินทรัพย์ที่สามารถนำมาใช้เพื่อแจ้งการตัดสินใจเกี่ยวกับการตอบสนองของเรื่องต่อภัยคุกคามหรืออันตราย

อย่าลังเลที่จะมีส่วนร่วม

แหล่งกำเนิด
รูปแบบ
เฟรมเวิร์กและแพลตฟอร์ม
เครื่องมือ
การวิจัยมาตรฐานและหนังสือ

แหล่งกำเนิด

ทรัพยากรส่วนใหญ่ที่แสดงรายการด้านล่างให้รายการและ/หรือ APIs เพื่อรับข้อมูลที่ทันสมัย (หวังว่า) เกี่ยวกับภัยคุกคาม บางคนคิดว่าแหล่งข้อมูลเหล่านี้เป็นข่าวกรองภัยคุกคามความคิดเห็นแตกต่างกันอย่างไรก็ตาม การวิเคราะห์จำนวนหนึ่ง (โดเมนหรือธุรกิจเฉพาะ) เป็นสิ่งจำเป็นเพื่อสร้างข่าวกรองการคุกคามที่แท้จริง

AbuseIpDB	AbventIPDB เป็นโครงการที่อุทิศตนเพื่อช่วยต่อสู้กับการแพร่กระจายของแฮ็กเกอร์สแปมเมอร์และกิจกรรมที่ไม่เหมาะสมบนอินเทอร์เน็ต ภารกิจคือการช่วยให้เว็บปลอดภัยยิ่งขึ้นโดยการจัดหาบัญชีดำกลางสำหรับเว็บมาสเตอร์ผู้ดูแลระบบและผู้มีส่วนได้เสียอื่น ๆ ในการรายงานและค้นหาที่อยู่ IP ที่เกี่ยวข้องกับกิจกรรมที่เป็นอันตรายออนไลน์ ..
Alexa 1 ล้านไซต์	1 ล้านไซต์จาก Amazon (Alexa) อย่าใช้สิ่งนี้เป็นผู้อนุญาต
กลุ่มและการดำเนินงานที่เหมาะสม	สเปรดชีตที่มีข้อมูลและความฉลาดเกี่ยวกับกลุ่มที่เหมาะสมการดำเนินงานและกลยุทธ์
ไบนารีป้องกัน ip banlist	ระบบป้องกันไบนารีระบบป้องกันปืนไร่และฟีด IP Banlist
การจัดอันดับ BGP	การจัดอันดับของ ASNs ที่มีเนื้อหาที่เป็นอันตรายที่สุด
บ็อตเน็ตติดตาม	ติดตามบอตเน็ตที่ใช้งานอยู่หลายแห่ง
botvrij.eu	botvrij.eu จัดเตรียมชุดโอเพนซอร์ส IOC ที่แตกต่างกันซึ่งคุณสามารถใช้ในอุปกรณ์รักษาความปลอดภัยของคุณเพื่อตรวจจับกิจกรรมที่เป็นอันตรายที่อาจเกิดขึ้น
BruteforceBlocker	BruteforceBlocker เป็นสคริปต์ Perl ที่ตรวจสอบบันทึก SSHD ของเซิร์ฟเวอร์และระบุการโจมตีที่ดุร้ายซึ่งจะใช้ในการกำหนดค่ากฎไฟร์วอลล์การบล็อกไฟร์วอลล์โดยอัตโนมัติและส่ง IP เหล่านั้นกลับไปที่ไซต์โครงการ http://danger.rulez.sk/projects/bruteforceblocker
ตัวติดตาม C&C	ฟีดของที่อยู่ IP C&C ที่เป็นที่รู้จักและไม่ได้ใช้งานจาก Bambenek Consulting ต้องมีใบอนุญาตสำหรับการใช้งานเชิงพาณิชย์
certstream	สตรีมอัปเดตบันทึกความโปร่งใสตามเวลาจริง ดูใบรับรอง SSL ตามที่ออกตามเวลาจริง
ใบรับรองมัลแวร์ฟอรัม CCSS	ต่อไปนี้เป็นรายการของใบรับรองดิจิตอลที่ได้รับการรายงานโดยฟอรัมว่าอาจเกี่ยวข้องกับมัลแวร์กับหน่วยงานใบรับรองต่างๆ ข้อมูลนี้มีวัตถุประสงค์เพื่อช่วยป้องกันไม่ให้ บริษัท ใช้ใบรับรองดิจิทัลเพื่อเพิ่มความชอบธรรมให้กับมัลแวร์และส่งเสริมการเพิกถอนใบรับรองดังกล่าวอย่างรวดเร็ว
รายชื่อกองทัพ CI	ชุดย่อยของรายการคะแนน CINS เชิงพาณิชย์มุ่งเน้นไปที่ IPS ที่ได้รับการจัดอันดับไม่ดีซึ่งไม่ได้อยู่ในปัจจุบันในผู้คุกคามอื่น ๆ
ร่มของซิสโก้	ผู้ที่ได้รับการอนุญาตที่น่าจะเป็นของ 1 ล้านไซต์ที่ได้รับการแก้ไขโดย Cisco Umbrella (เป็น openns)
การสแกนไวรัส Cloudmersive	CloudMersive Virus scan APIS สแกนไฟล์ URL และที่เก็บข้อมูลบนคลาวด์สำหรับไวรัส พวกเขาใช้ประโยชน์จากการอัพเดทลายเซ็นอย่างต่อเนื่องสำหรับภัยคุกคามนับล้านและความสามารถในการสแกนประสิทธิภาพสูงขั้นสูง บริการฟรี แต่คุณต้องลงทะเบียนสำหรับบัญชีเพื่อดึงรหัส API ส่วนบุคคลของคุณ
คอนโซล crowdsec	CTI ที่ได้รับการสนับสนุนจากฝูงชนที่ใหญ่ที่สุดได้รับการปรับปรุงในระยะเวลาใกล้เคียงกับ Crowdsec ซึ่งเป็นซอฟต์แวร์ IDS/IPS/IPS ที่ทำงานร่วมกัน Crowdsec สามารถวิเคราะห์พฤติกรรมของผู้เข้าชมและให้การตอบสนองต่อการโจมตีทุกประเภท ผู้ใช้สามารถแบ่งปันการแจ้งเตือนเกี่ยวกับภัยคุกคามกับชุมชนและได้รับประโยชน์จากเอฟเฟกต์เครือข่าย ที่อยู่ IP จะถูกรวบรวมจากการโจมตีจริงและไม่ได้มาจากเครือข่าย Honeypot โดยเฉพาะ
Cyber Cure Free Intelligence Feeds	Cyber Cure เสนอฟีดข่าวกรองภัยคุกคามไซเบอร์ฟรีพร้อมรายการที่อยู่ IP ที่ติดเชื้อและโจมตีบนอินเทอร์เน็ตในปัจจุบัน มีรายการ URL ที่ใช้โดยมัลแวร์และรายการไฟล์แฮชของมัลแวร์ที่รู้จักซึ่งกำลังแพร่กระจายอยู่ CyberCure ใช้เซ็นเซอร์เพื่อรวบรวมความฉลาดด้วยอัตราบวกเท็จที่ต่ำมาก เอกสารโดยละเอียดมีให้เช่นกัน
ข่าวกรองการคุกคามของไซแวร์ฟีด	ข่าวกรองการคุกคามของ Cyware นำข้อมูลภัยคุกคามที่มีค่ามาให้คุณจากแหล่งข้อมูลที่เปิดกว้างและเชื่อถือได้ที่หลากหลายเพื่อส่งมอบกระแสข้อมูลที่มีคุณค่าและการดำเนินการที่สามารถดำเนินการได้ ฟีด Intel ที่คุกคามของเราเข้ากันได้อย่างเต็มที่กับ STIX 1.x และ 2.0 ให้ข้อมูลล่าสุดเกี่ยวกับแฮมแวร์ที่เป็นอันตราย, IPS และโดเมนที่เปิดโปงทั่วโลกแบบเรียลไทม์
dataPlane.org	dataPlane.org เป็นข้อมูลอินเทอร์เน็ตที่ขับเคลื่อนด้วยชุมชนฟีดและทรัพยากรการวัดสำหรับผู้ประกอบการโดยผู้ประกอบการ เราให้บริการที่เชื่อถือได้และน่าเชื่อถือโดยไม่มีค่าใช้จ่าย
focsec.com	FOCSEC.com จัดเตรียม API สำหรับการตรวจจับ VPNs, Proxys, Bots และ Tor Requests ข้อมูลที่ทันสมัยอยู่เสมอช่วยในการตรวจจับการเข้าสู่ระบบที่น่าสงสัยการฉ้อโกงและการละเมิด ตัวอย่างรหัสสามารถพบได้ในเอกสาร
Digitalside thare-intel	มีชุดของตัวชี้วัดข่าวกรองการคุกคามของไซเบอร์โอเพนซอร์สซึ่งส่วนใหญ่ขึ้นอยู่กับการวิเคราะห์มัลแวร์และ URL ที่ถูกบุกรุก IPS และโดเมน วัตถุประสงค์ของโครงการนี้คือการพัฒนาและทดสอบวิธีการใหม่ในการตามล่าวิเคราะห์รวบรวมและแบ่งปันความเกี่ยวข้อง IOC ที่จะใช้โดย SOC/CSIRT/ใบรับรอง/บุคคลที่มีความพยายามขั้นต่ำ รายงานมีการแบ่งปันในสามวิธี: ฟีด STIX2, CSV และ MISP รายงานจะถูกเผยแพร่ในที่เก็บ GIT ของโครงการ
โดเมนอีเมลแบบใช้แล้วทิ้ง	คอลเลกชันของโดเมนอีเมลที่ไม่ระบุชื่อหรือใช้แล้วทิ้งที่ใช้กันทั่วไปในการใช้บริการสแปม/การละเมิด
เส้นทาง DNS	แหล่งข้อมูลข่าวกรองฟรีสำหรับข้อมูล DNS ในปัจจุบันและประวัติศาสตร์ข้อมูล WHOIS การค้นหาเว็บไซต์อื่น ๆ ที่เกี่ยวข้องกับ IPS บางอย่างความรู้และเทคโนโลยีของโดเมนย่อย มี IP และ Domain Intelligence API เช่นกัน
กฎไฟร์วอลล์ที่เกิดขึ้นใหม่	คอลเลกชันของกฎสำหรับไฟร์วอลล์หลายประเภทรวมถึง iptables, PF และ PIX
กฎการคุกคามที่เกิดขึ้นใหม่	คอลเลกชันของ ไฟล์กฎ Snort และ Suricata ที่สามารถใช้สำหรับการแจ้งเตือนหรือปิดกั้น
เครื่องขยายเสียง	บริการ exonerator ดูแลฐานข้อมูลของที่อยู่ IP ซึ่งเป็นส่วนหนึ่งของเครือข่าย TOR มันตอบคำถามว่ามีรีเลย์ TOR ที่ทำงานบนที่อยู่ IP ที่กำหนดในวันที่กำหนดหรือไม่
การแสวงประโยชน์	รายชื่อการหาประโยชน์ล่าสุดที่เผยแพร่
FastIntercept	สกัดกั้นความปลอดภัยโฮสต์รายการชื่อเสียง IP ฟรีจำนวนหนึ่งจากเครือข่าย Honeypot ทั่วโลก
Zeus Tracker	Feodo Tracker Abuse.ch ติดตาม Feodo Trojan
รายการ IP ไฟ	ฟีด IP ที่มีให้บริการ 400+ แบบต่อสาธารณะวิเคราะห์เพื่อจัดทำเอกสารวิวัฒนาการ, Geo-MAP, อายุของ IPS, นโยบายการเก็บรักษา, การทับซ้อนกัน เว็บไซต์มุ่งเน้นไปที่อาชญากรรมไซเบอร์ (การโจมตีการละเมิดมัลแวร์)
ผู้ฉ้อโกง	Fraudguard เป็นบริการที่ออกแบบมาเพื่อให้วิธีที่ง่ายในการตรวจสอบการใช้งานโดยการรวบรวมและวิเคราะห์ปริมาณการใช้อินเทอร์เน็ตแบบเรียลไทม์อย่างต่อเนื่อง
สีเขียวขจี	Greynoise รวบรวมและวิเคราะห์ข้อมูลเกี่ยวกับกิจกรรมการสแกนทั่วทั้งอินเทอร์เน็ต มันรวบรวมข้อมูลเกี่ยวกับเครื่องสแกนที่อ่อนโยนเช่น shodan.io รวมถึงนักแสดงที่เป็นอันตรายเช่น SSH และ Worms Telnet
honeydb	HoneyDB ให้ข้อมูลเรียลไทม์ของกิจกรรม Honeypot ข้อมูลนี้มาจาก Honeypots ที่ใช้งานบนอินเทอร์เน็ตโดยใช้ Honeypy Honeypot นอกจากนี้ HoneyDB ยังให้การเข้าถึง API สำหรับกิจกรรม Honeypot ที่รวบรวมซึ่งรวมถึงข้อมูลที่รวมจากฟีด Twitter Honeypot Twitter ต่างๆ
น้ำแข็ง	12,805 กฎ YARA ฟรีที่สร้างโดย Project Icewater
Infosec - Cert -PA	การรวบรวมและวิเคราะห์ตัวอย่างมัลแวร์บริการบล็อกข้อมูลช่องโหว่และอื่น ๆ สร้างและจัดการโดย CERT-PA
ห้องปฏิบัติการสอบถาม	พอร์ทัลข้อมูลที่เปิดใช้งานแบบเปิดใช้งานและ API สำหรับนักวิจัยด้านความปลอดภัย ค้นหาคลังข้อมูลขนาดใหญ่ของไฟล์ข้อมูลชื่อเสียงรวมและ IOC ที่สกัดจากแหล่งสาธารณะ เพิ่มการพัฒนา Yara ด้วยเครื่องมือในการสร้างทริกเกอร์จัดการกับ HEX แบบผสมและสร้างนิพจน์ปกติที่เข้ากันได้กับ BASE64
I-blocklist	I-BLOCKLIST รักษารายการหลายประเภทที่มีที่อยู่ IP ที่เป็นของหมวดหมู่ต่างๆ หมวดหมู่หลักเหล่านี้บางประเภทรวมถึงประเทศ ISP และองค์กร รายการอื่น ๆ ได้แก่ การโจมตีทางเว็บ, Tor, Spyware และ Proxies หลายคนใช้งานได้ฟรีและมีอยู่ในรูปแบบต่าง ๆ
Ipsum	Ipsum เป็นฟีดข่าวกรองภัยคุกคามโดยอิงจาก 30 รายการที่แตกต่างกันที่แตกต่างกันของที่อยู่ของที่อยู่ที่น่าสงสัยและ/หรือที่อยู่ IP ที่เป็นอันตราย รายการทั้งหมดจะถูกเรียกคืนโดยอัตโนมัติและแยกวิเคราะห์ตามพื้นฐานรายวัน (24 ชั่วโมง) และผลลัพธ์สุดท้ายจะถูกส่งไปยังที่เก็บนี้ รายการทำจากที่อยู่ IP พร้อมกับจำนวนรายการทั้งหมด (สีดำ) (สำหรับแต่ละรายการ) สร้างและจัดการโดย Miroslav Stampar
ข่าวกรองการคุกคามของ James Brine Feeds	Jamesbrine ให้บริการข่าวกรองภัยคุกคามประจำวันสำหรับที่อยู่ IP ที่เป็นอันตรายจากฮันนีพ็อตที่ตั้งอยู่ระดับสากลบนคลาวด์และโครงสร้างพื้นฐานส่วนตัวที่ครอบคลุมโปรโตคอลที่หลากหลายรวมถึง SSH, FTP, RDP, GIT, SNMP และ Redis IOCs ของวันก่อนหน้านี้มีอยู่ใน STIX2 รวมถึง IOCs เพิ่มเติมเช่น URIs ที่น่าสงสัยและโดเมนที่ลงทะเบียนใหม่ซึ่งมีการใช้งานสูงในแคมเปญฟิชชิ่ง
ฟีดข้อมูลภัยคุกคาม Kaspersky	อัปเดตอย่างต่อเนื่องและแจ้งธุรกิจหรือลูกค้าของคุณเกี่ยวกับความเสี่ยงและผลกระทบที่เกี่ยวข้องกับภัยคุกคามทางไซเบอร์ ข้อมูลแบบเรียลไทม์ช่วยให้คุณลดการคุกคามได้อย่างมีประสิทธิภาพมากขึ้นและป้องกันการโจมตีก่อนที่จะเปิดตัว ฟีดข้อมูลการสาธิตประกอบด้วยชุด IOCs ที่ถูกตัดทอน (มากถึง 1%) เมื่อเทียบกับชุดเชิงพาณิชย์
Majestic Million	ผู้ที่ได้รับการอนุญาตที่น่าจะเป็นของ 1 ล้านเว็บไซต์อันดับต้น ๆ ซึ่งได้รับการจัดอันดับโดย Majestic ไซต์ได้รับคำสั่งโดยจำนวนซับเน็ตที่อ้างอิง เพิ่มเติมเกี่ยวกับการจัดอันดับสามารถพบได้ในบล็อกของพวกเขา
Maldatabase	Maldatabase ได้รับการออกแบบมาเพื่อช่วยให้วิทยาศาสตร์ข้อมูลมัลแวร์และข่าวกรองภัยคุกคาม ข้อมูลที่ให้ข้อมูลมีข้อมูลที่ดีเกี่ยวกับท่ามกลางฟิลด์อื่น ๆ โดเมนที่ติดต่อรายการกระบวนการดำเนินการและไฟล์ที่ลดลงโดยแต่ละตัวอย่าง ฟีดเหล่านี้ช่วยให้คุณปรับปรุงเครื่องมือตรวจสอบและความปลอดภัยของคุณ มีบริการฟรีสำหรับนักวิจัยด้านความปลอดภัยและนักเรียน
Malpedia	เป้าหมายหลักของ Malpedia คือการจัดหาทรัพยากรสำหรับการระบุตัวตนที่รวดเร็วและบริบทที่สามารถดำเนินการได้เมื่อตรวจสอบมัลแวร์ การเปิดกว้างเพื่อการสนับสนุนที่ได้รับการดูแลจะช่วยให้มั่นใจได้ถึงระดับคุณภาพที่รับผิดชอบเพื่อส่งเสริมการวิจัยที่มีความหมายและทำซ้ำได้
malshare.com	โครงการ Malshare เป็นที่เก็บมัลแวร์สาธารณะที่ให้นักวิจัยเข้าถึงตัวอย่างได้ฟรี
ชาวมอลต์	โครงการ Maltiverse เป็นฐานข้อมูล IOC ขนาดใหญ่และอุดมไปด้วยซึ่งเป็นไปได้ที่จะทำการสืบค้นที่ซับซ้อนและการรวมตัวเพื่อตรวจสอบเกี่ยวกับแคมเปญมัลแวร์และโครงสร้างพื้นฐาน นอกจากนี้ยังมีบริการค้นหาจำนวนมาก IOC
มัลแวร์	Malwarebazaar เป็นโครงการจากการละเมิดโดยมีเป้าหมายในการแบ่งปันตัวอย่างมัลแวร์กับชุมชน Infosec ผู้ขาย AV และผู้ให้บริการข่าวกรองภัยคุกคาม
รายการโดเมนมัลแวร์	รายการที่ค้นหาได้ของโดเมนที่เป็นอันตรายซึ่งดำเนินการค้นหาย้อนกลับและแสดงรายการผู้ลงทะเบียนมุ่งเน้นไปที่ฟิชชิ่งโทรจันและการใช้ประโยชน์จากชุดอุปกรณ์
ลาดตระเวนมัลแวร์	Malware Patrol ให้รายการบล็อกฟีดข้อมูลและข่าวกรองภัยคุกคามให้กับ บริษัท ทุกขนาด เนื่องจากความพิเศษของเราคือข่าวกรองการคุกคามทางไซเบอร์ทรัพยากรทั้งหมดของเราจึงเข้ามาทำให้แน่ใจว่ามันมีคุณภาพสูงสุดเท่าที่จะเป็นไปได้ เราเชื่อว่าทีมรักษาความปลอดภัยและเครื่องมือของมันก็ดีเท่าที่ข้อมูลใช้ ซึ่งหมายความว่าฟีดของเราไม่ได้เต็มไปด้วยตัวบ่งชี้ที่ถูกคัดค้านและไม่ผ่านการตรวจสอบ เราให้ความสำคัญกับคุณภาพมากกว่าปริมาณ
มัลแวร์	บล็อกนี้มุ่งเน้นไปที่การรับส่งข้อมูลเครือข่ายที่เกี่ยวข้องกับการติดเชื้อมัลแวร์ มีแบบฝึกหัดการวิเคราะห์การจราจรแบบฝึกหัดตัวอย่างมัลแวร์ไฟล์ PCAP ของการรับส่งข้อมูลเครือข่ายที่เป็นอันตรายและการโพสต์บล็อกทางเทคนิคพร้อมการสังเกต
malwaredomains.com	โครงการ DNS-BH สร้างและรักษารายชื่อโดเมนที่เป็นที่รู้จักกันว่าใช้ในการเผยแพร่มัลแวร์และสปายแวร์ สิ่งเหล่านี้สามารถใช้สำหรับการตรวจจับเช่นเดียวกับการป้องกัน (การร้องขอ DNS)
คลาวด์ Metadefender	ฟีดข่าวกรองการคุกคามของ Metadefender Cloud มีลายเซ็นแฮชมัลแวร์ใหม่ชั้นนำรวมถึง MD5, SHA1 และ SHA256 แฮชที่เป็นอันตรายใหม่เหล่านี้ได้รับการตรวจจากเมฆเมทเมนเดอร์ภายใน 24 ชั่วโมงที่ผ่านมา ฟีดได้รับการปรับปรุงทุกวันด้วยการตรวจพบใหม่และรายงานมัลแวร์เพื่อให้หน่วยสืบราชการลับการคุกคามที่สามารถดำเนินการได้และทันเวลา
โครงการ NetLab OpenData	โครงการ NetLab OpenData ถูกนำเสนอต่อสาธารณชนเป็นครั้งแรกที่ ISC '2016 เมื่อวันที่ 16 สิงหาคม 2559 ปัจจุบันเรามีฟีดข้อมูลหลายรายการรวมถึง DGA, EK, Malcon, Mirai C2, Mirai-Scanner, Hajime-Scanner และ DRDOS
ไม่คิด	SNMP, SSH, Telnet Blacklisted IPS จาก Honeypots ของ Matteo Cantoni
บริการ Normshield	Normshield Services ให้ข้อมูลโดเมนนับพัน (รวมถึงข้อมูล WHOIS) ว่าการโจมตีแบบฟิชชิ่งที่อาจเกิดขึ้นอาจมาจาก บริการ Breach และ Blacklist ยังมีอยู่ มีการลงทะเบียนฟรีสำหรับบริการสาธารณะสำหรับการตรวจสอบอย่างต่อเนื่อง
ภัยคุกคาม Novasense	Novasense เป็นศูนย์ข่าวกรองภัยคุกคาม Snapt และให้ข้อมูลเชิงลึกและเครื่องมือสำหรับการป้องกันภัยคุกคามล่วงหน้าและการลดการโจมตี Novasense ปกป้องลูกค้าทุกขนาดตั้งแต่ผู้โจมตีการละเมิดบอตเน็ตการโจมตี DOS และอื่น ๆ
โผล่ออกมา	RSS Reader สำหรับทีมรักษาความปลอดภัยทางไซเบอร์ เปลี่ยนบล็อกใด ๆ ให้เป็นข่าวกรองการคุกคามที่มีโครงสร้างและดำเนินการได้
ฟีด openphish	OpenPhish ได้รับ URL จากหลายสตรีมและวิเคราะห์โดยใช้อัลกอริทึมการตรวจจับฟิชชิ่งที่เป็นกรรมสิทธิ์ มีข้อเสนอฟรีและเชิงพาณิชย์
0xsi_f33d	บริการฟรีสำหรับการตรวจจับโดเมนฟิชชิ่งและมัลแวร์ที่เป็นไปได้
Phishtank	Phishtank ส่งรายการ URL ฟิชชิ่งที่น่าสงสัย ข้อมูลของพวกเขามาจากรายงานของมนุษย์ แต่พวกเขายังกินฟีดภายนอกหากเป็นไปได้ มันเป็นบริการฟรี แต่บางครั้งการลงทะเบียนสำหรับคีย์ API ก็จำเป็น
รถปิคอัพ	Pickupstix เป็นฟีดของหน่วยข่าวกรองการคุกคามไซเบอร์ที่ไม่ใช้งานและการค้าที่ไม่ใช่เชิงพาณิชย์ ปัจจุบัน PickupStix ใช้ฟีดสาธารณะสามตัวและกระจายสติปัญญาใหม่ประมาณ 100 ชิ้นในแต่ละวัน Pickupstix แปลฟีดต่าง ๆ เป็น stix ซึ่งสามารถสื่อสารกับเซิร์ฟเวอร์ Taxii ใด ๆ ข้อมูลมีอิสระในการใช้งานและเป็นวิธีที่ยอดเยี่ยมในการเริ่มต้นใช้ข่าวกรองภัยคุกคามไซเบอร์
ช่วยชีวิตการคุกคาม Intel Feed	[Res] Cure เป็นโครงการข่าวกรองภัยคุกคามที่เป็นอิสระที่ดำเนินการโดยทีม Fruxlabs Crack เพื่อเพิ่มความเข้าใจเกี่ยวกับสถาปัตยกรรมพื้นฐานของระบบกระจายธรรมชาติธรรมชาติของข่าวกรองภัยคุกคามและวิธีการรวบรวมจัดเก็บกินและแจกจ่ายข่าวกรองภัยคุกคามอย่างมีประสิทธิภาพ ฟีดถูกสร้างขึ้นทุก 6 ชั่วโมง
RST Cloud ภัยคุกคาม Intel Feed	ตัวชี้วัดที่รวมกันของการประนีประนอมที่รวบรวมและตรวจสอบข้ามจากแหล่งข้อมูลที่เปิดกว้างและชุมชนที่ได้รับการสนับสนุนหลายแห่งเสริมและจัดอันดับโดยใช้แพลตฟอร์มข่าวกรองของเรา
rutgers blacklisted ips	รายการ IP ของ SSH Brute Force Attackers ถูกสร้างขึ้นจากการรวมของ IPS ที่สังเกตได้ในท้องถิ่นและ IPS อายุ 2 ชั่วโมงที่ลงทะเบียนที่ BADIP.com และ BlockList.de
sans ics โดเมนที่น่าสงสัย	ภัยคุกคามโดเมนที่น่าสงสัยแสดงรายการโดย SANS ICS ติดตามโดเมนที่น่าสงสัย มันมี 3 รายการที่จัดหมวดหมู่เป็นความไวสูงปานกลางหรือต่ำซึ่งรายการความไวสูงมีผลบวกผิดพลาดน้อยลงในขณะที่รายการความไวต่ำที่มีผลบวกปลอมมากขึ้น นอกจากนี้ยังมีผู้ทำรายการที่ได้รับการอนุมัติจากโดเมน ในที่สุดก็มีรายการบล็อก IP ที่แนะนำจาก DSHIELD
SecurityScorecard IOCS	การเข้าถึงสาธารณะ IOCs จากโพสต์บล็อกและรายงานโดย SecurityScorecard
ทำให้เสียดสี	นักวิเคราะห์ข่าวกรองภัยคุกคามอัตโนมัติของคุณ แยกความฉลาดที่อ่านได้จากเครื่องจากข้อมูลที่ไม่มีโครงสร้าง
ลายเซ็น	ฐานข้อมูลของลายเซ็นที่ใช้ในเครื่องมืออื่น ๆ โดย Neo23x0
โครงการ Spamhaus	โครงการ Spamhaus มีผู้คุกคามหลายคนที่เกี่ยวข้องกับกิจกรรมสแปมและมัลแวร์
sophoslabs intelix	Sophoslabs Intelix เป็นแพลตฟอร์มข่าวกรองภัยคุกคามที่ให้พลังแก่ผลิตภัณฑ์และพันธมิตร คุณสามารถเข้าถึงอัจฉริยะตามไฟล์แฮช url ฯลฯ รวมถึงส่งตัวอย่างสำหรับการวิเคราะห์ ผ่าน REST API คุณสามารถเพิ่มข่าวกรองการคุกคามนี้ลงในระบบของคุณได้อย่างง่ายดาย
กระตุ้น	Spur จัดเตรียมเครื่องมือและข้อมูลในการตรวจจับ VPNs พร็อกซีที่อยู่อาศัยและบอท แผนฟรีช่วยให้ผู้ใช้สามารถค้นหา IP และรับการจำแนกประเภทผู้ให้บริการ VPN, geolocations ยอดนิยมที่อยู่เบื้องหลัง IP และบริบทที่มีประโยชน์มากกว่า
SSL Blacklist	SSL Blacklist (SSLBL) เป็นโครงการที่ดูแลโดยการละเมิด เป้าหมายคือการจัดทำรายการใบรับรอง SSL "ไม่ดี" ที่ระบุโดยการละเมิด ch เพื่อเชื่อมโยงกับกิจกรรมมัลแวร์หรือบอตเน็ต SSLBL ขึ้นอยู่กับลายนิ้วมือ SHA1 ของใบรับรอง SSL ที่เป็นอันตรายและมีบัญชีดำต่างๆ
Statvoo 1 ล้านไซต์	ผู้ที่ได้รับการอนุญาตที่น่าจะเป็นของเว็บไซต์ 1 ล้านอันดับแรกซึ่งได้รับการจัดอันดับโดย Statvoo
Strongarm โดย Percipient Networks	Strontarm เป็น Blackhole DNS ที่ดำเนินการกับตัวบ่งชี้การประนีประนอมโดยการปิดกั้นคำสั่งและการควบคุมมัลแวร์ การรวมตัวของ Free -Armart Free Feeds รวมเข้ากับฟีดเชิงพาณิชย์ใช้ฟีด IOC ของ Percipient และดำเนินการ DNS Resolvers และ API เพื่อให้คุณใช้เพื่อปกป้องเครือข่ายและธุรกิจของคุณ Strontarm ฟรีสำหรับการใช้งานส่วนตัว
กฎ Siem	ฐานข้อมูลวิศวกรรมการตรวจจับของคุณ ดูแก้ไขและปรับใช้กฎ SIEM สำหรับการล่าสัตว์และตรวจจับ
Talos	Cisco Talos Intelligence Group เป็นหนึ่งในทีมข่าวกรองภัยคุกคามเชิงพาณิชย์ที่ใหญ่ที่สุดในโลกประกอบด้วยนักวิจัยนักวิเคราะห์และวิศวกรระดับโลก ทีมเหล่านี้ได้รับการสนับสนุนโดย telemetry ที่ไม่มีใครเทียบและระบบที่ซับซ้อนเพื่อสร้างข่าวกรองการคุกคามที่ถูกต้องรวดเร็วและดำเนินการได้สำหรับลูกค้าผลิตภัณฑ์และบริการของซิสโก้ Talos ปกป้องลูกค้าของซิสโก้จากภัยคุกคามที่รู้จักและเกิดขึ้นใหม่ค้นพบช่องโหว่ใหม่ในซอฟต์แวร์ทั่วไป Talos รักษากฎอย่างเป็นทางการของ Snort.org, Clamav และ Spamcop นอกเหนือจากการปล่อยเครื่องมือวิจัยและวิเคราะห์โอเพนซอร์สจำนวนมาก Talos ให้บริการเว็บ UI ที่ใช้งานง่ายเพื่อตรวจสอบชื่อเสียงที่สังเกตได้
trarekfeeds.io	การคุกคาม Feeds.io แสดงรายการฟีดและแหล่งข้อมูลข่าวกรองการคุกคามฟรีและโอเพ่นซอร์สและให้ลิงก์ดาวน์โหลดโดยตรงและบทสรุปสด
trarekfox.abuse.ch	TarkeFox เป็นแพลตฟอร์มฟรีจากการละเมิด ch โดยมีเป้าหมายในการแบ่งปันตัวชี้วัดของการประนีประนอม (IOCs) ที่เกี่ยวข้องกับมัลแวร์กับชุมชน Infosec ผู้ขาย AV และผู้ให้บริการข่าวกรองภัยคุกคาม
บล็อกและรายงานทางเทคนิคโดยการคุกคาม	แหล่งที่มานี้มีการเติมเนื้อหาจากโอเพ่นซอร์สกว่า 90 รายการบล็อกความปลอดภัย IOCs (ตัวบ่งชี้การประนีประนอม) จะถูกแยกวิเคราะห์ออกจากแต่ละบล็อกและเนื้อหาของบล็อกจะถูกจัดรูปแบบใน Markdown
การคุกคาม jammer	ภัยคุกคาม Jammer เป็นบริการ REST API ที่ช่วยให้นักพัฒนาวิศวกรความปลอดภัยและผู้เชี่ยวชาญด้านไอทีอื่น ๆ สามารถเข้าถึงข้อมูลข่าวกรองการคุกคามที่มีคุณภาพสูงจากแหล่งต่าง ๆ และรวมเข้ากับแอปพลิเคชันของพวกเขาด้วยวัตถุประสงค์เพียงอย่างเดียวในการตรวจจับและปิดกั้นกิจกรรมที่เป็นอันตราย
การคุกคาม	TarceMiner ได้รับการสร้างขึ้นเพื่อให้นักวิเคราะห์ฟรีจากการรวบรวมข้อมูลและเพื่อให้พวกเขามีพอร์ทัลที่พวกเขาสามารถปฏิบัติงานได้ตั้งแต่การอ่านรายงานไปจนถึงการหมุนและการเพิ่มประสิทธิภาพข้อมูล ความสำคัญของการคุกคามไม่ได้เกี่ยวกับตัวชี้วัดของการประนีประนอม (IOC) แต่ยังให้ข้อมูลตามบริบทที่เกี่ยวข้องกับ IOC ที่พวกเขากำลังมองหา
ที่อยู่อีเมลมัลแวร์ WSTNPHX	ที่อยู่อีเมลใช้โดยมัลแวร์ที่รวบรวมโดย VVestron Phoronix (WSTNPHX)
underattack.today	Underattack เป็นแพลตฟอร์มหน่วยข่าวกรองฟรีแบ่งปัน IPS และข้อมูลเกี่ยวกับเหตุการณ์ที่น่าสงสัยและการโจมตี การลงทะเบียนฟรี
urlhaus	Urlhaus เป็นโครงการจากการละเมิดโดยมีเป้าหมายในการแบ่งปัน URL ที่เป็นอันตรายซึ่งใช้สำหรับการกระจายมัลแวร์
Virusshare	Virusshare.com เป็นที่เก็บตัวอย่างมัลแวร์เพื่อให้นักวิจัยด้านความปลอดภัยผู้ตอบโต้เหตุการณ์นักวิเคราะห์นิติเวชและการเข้าถึงตัวอย่างของรหัสที่เป็นอันตราย การเข้าถึงเว็บไซต์จะได้รับผ่านคำเชิญเท่านั้น
ยาราคนหนึ่ง	ที่เก็บโอเพนซอร์สที่มีลายเซ็น Yara ที่แตกต่างกันซึ่งรวบรวมจัดประเภทและเก็บไว้ให้ทันสมัยที่สุดเท่าที่จะทำได้
ฟีดภัยคุกคามคู่ที่ 1 โดย Mrlooquer	Mrlooquer ได้สร้างฟีดการคุกคามครั้งแรกที่มุ่งเน้นไปที่ระบบที่มีสแต็คคู่ เนื่องจากโปรโตคอล IPv6 ได้เริ่มเป็นส่วนหนึ่งของการสื่อสารมัลแวร์และการฉ้อโกงจึงจำเป็นต้องตรวจจับและบรรเทาภัยคุกคามในโปรโตคอลทั้งสอง (IPv4 และ IPv6)

รูปแบบ

รูปแบบมาตรฐานสำหรับการแบ่งปันข่าวกรองภัยคุกคาม (ส่วนใหญ่ IOCs)

capec	รูปแบบการโจมตีทั่วไปการแจงนับและการจำแนกประเภท (CAPEC) เป็นพจนานุกรมที่ครอบคลุมและการจำแนกประเภทอนุกรมวิธานของการโจมตีที่รู้จักซึ่งสามารถใช้งานได้โดยนักวิเคราะห์นักพัฒนาผู้ทดสอบและนักการศึกษาเพื่อพัฒนาความเข้าใจของชุมชนและปรับปรุงการป้องกัน
cybox	ภาษา Cyber Expression (CYBOX) ให้โครงสร้างร่วมกันสำหรับการเป็นตัวแทนของไซเบอร์ที่สังเกตได้ทั่วทั้งและในพื้นที่การปฏิบัติงานขององค์กรความปลอดภัยไซเบอร์ขององค์กรที่ปรับปรุงความสอดคล้องประสิทธิภาพและความสามารถในการทำงานร่วมกันของเครื่องมือและกระบวนการที่นำไปใช้งานรวมถึงการรับรู้สถานการณ์โดยรวม
iodef (RFC5070)	วัตถุที่เกิดขึ้นคำอธิบายรูปแบบการแลกเปลี่ยน (IODEF) กำหนดการแสดงข้อมูลที่ให้กรอบสำหรับการแบ่งปันข้อมูลที่แลกเปลี่ยนกันโดยทีมตอบสนองเหตุการณ์ความปลอดภัยคอมพิวเตอร์ (CSIRTS) เกี่ยวกับเหตุการณ์ความปลอดภัยของคอมพิวเตอร์
IDMEF (RFC4765)	การทดลอง - วัตถุประสงค์ของรูปแบบการแลกเปลี่ยนข้อความตรวจจับการบุกรุก (IDMEF) คือการกำหนดรูปแบบข้อมูลและขั้นตอนการแลกเปลี่ยนสำหรับการแบ่งปันข้อมูลที่น่าสนใจในการตรวจจับการบุกรุกและระบบตอบสนองและระบบการจัดการที่อาจต้องโต้ตอบกับพวกเขา
Maec	โครงการการแจงนับและการจำแนกลักษณะมัลแวร์ (MAEC) มีวัตถุประสงค์เพื่อสร้างและให้ภาษามาตรฐานสำหรับการแบ่งปันข้อมูลที่มีโครงสร้างเกี่ยวกับมัลแวร์ตามคุณลักษณะเช่นพฤติกรรมสิ่งประดิษฐ์และรูปแบบการโจมตี
OpenC2	คณะกรรมการด้านเทคนิค Oasis Open Command and Control (OpenC2) OpenC2 TC จะใช้ความพยายามในสิ่งประดิษฐ์ที่สร้างขึ้นโดย OpenC2 Forum ก่อนที่จะมีการสร้าง TC และข้อกำหนดนี้ฟอรัม OpenC2 เป็นชุมชนของผู้มีส่วนได้ส่วนเสียที่มีความปลอดภัยในโลกไซเบอร์ซึ่งได้รับการอำนวยความสะดวกโดยสำนักงานความมั่นคงแห่งชาติ (NSA) OpenC2 TC ได้รับอนุญาตให้ร่างเอกสารข้อมูลจำเพาะพจนานุกรมหรือสิ่งประดิษฐ์อื่น ๆ เพื่อตอบสนองความต้องการของคำสั่งและการควบคุมความปลอดภัยไซเบอร์ในลักษณะที่เป็นมาตรฐาน
Stix 2.0	ภาษาการแสดงออกของข้อมูลการคุกคาม (STIX) ที่มีโครงสร้างเป็นโครงสร้างที่ได้มาตรฐานเพื่อเป็นตัวแทนของข้อมูลภัยคุกคามไซเบอร์ ภาษา Stix มุ่งมั่นที่จะถ่ายทอดข้อมูลภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้นอย่างเต็มรูปแบบและมุ่งมั่นที่จะแสดงออกอย่างเต็มที่ยืดหยุ่นยืดหยุ่นได้และสามารถอัตโนมัติได้ Stix ไม่เพียง แต่อนุญาตให้มีฟิลด์ที่ไม่เชื่อเรื่องพระเจ้า แต่ยังมี กลไกการทดสอบ ที่เรียกว่าซึ่งให้วิธีการสำหรับการฝังองค์ประกอบเฉพาะเครื่องมือรวมถึง OpenIOC, Yara และ Snort Stix 1.x ได้รับการเก็บถาวรที่นี่
Taxii	มาตรฐานการแลกเปลี่ยนข้อมูลตัวบ่งชี้อัตโนมัติที่เชื่อถือได้ (TAXII) กำหนดชุดของบริการและการแลกเปลี่ยนข้อความที่เมื่อนำไปใช้จะเปิดใช้งานการแบ่งปันข้อมูลภัยคุกคามไซเบอร์ที่สามารถดำเนินการได้ทั่วทั้งองค์กรและขอบเขตผลิตภัณฑ์/บริการ Taxii กำหนดแนวคิดโปรโตคอลและการแลกเปลี่ยนข้อความเพื่อแลกเปลี่ยนข้อมูลภัยคุกคามทางไซเบอร์สำหรับการตรวจจับการป้องกันและการบรรเทาภัยคุกคามไซเบอร์
veris	คำศัพท์สำหรับการบันทึกเหตุการณ์และการแบ่งปันเหตุการณ์ (VERIS) เป็นชุดของตัวชี้วัดที่ออกแบบมาเพื่อให้ภาษาทั่วไปสำหรับการอธิบายเหตุการณ์ความปลอดภัยในลักษณะที่มีโครงสร้างและทำซ้ำได้ Veris เป็นการตอบสนองต่อหนึ่งในความท้าทายที่สำคัญและต่อเนื่องที่สุดในอุตสาหกรรมความปลอดภัย - การขาดข้อมูลที่มีคุณภาพ นอกเหนือจากการจัดทำรูปแบบที่มีโครงสร้างแล้ว Veris ยังรวบรวมข้อมูลจากชุมชนเพื่อรายงานการละเมิดในรายงานการตรวจสอบข้อมูล Verizon Data Breach (DBIR) และเผยแพร่ฐานข้อมูลนี้ออนไลน์ใน GitHub Repository.org

เฟรมเวิร์กและแพลตฟอร์ม

เฟรมเวิร์กแพลตฟอร์มและบริการสำหรับการรวบรวมการวิเคราะห์การสร้างและการแบ่งปันข่าวกรองภัยคุกคาม

ผู้ที่ถูกทารุณกรรม	Abjormhelper เป็นกรอบโอเพ่นซอร์สสำหรับการรับและแจกจ่ายฟีดการละเมิดและการคุกคาม Intel
ผู้กระทำผิด	ชุดเครื่องมือที่จะได้รับประมวลผลมีความสัมพันธ์และแจ้งผู้ใช้ปลายทางเกี่ยวกับรายงานการละเมิดซึ่งจะใช้ฟีดข่าวกรองภัยคุกคาม
AIS	หน่วยงานรักษาความปลอดภัยด้านความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) ความสามารถในการแบ่งปันตัวบ่งชี้อัตโนมัติแบบอัตโนมัติ (AIS) ช่วยให้สามารถแลกเปลี่ยนตัวชี้วัดภัยคุกคามไซเบอร์ระหว่างรัฐบาลกลางและภาคเอกชนที่ความเร็วเครื่องจักร ตัวบ่งชี้ภัยคุกคามเป็นชิ้นส่วนของข้อมูลเช่นที่อยู่ IP ที่เป็นอันตรายหรือที่อยู่ผู้ส่งของอีเมลฟิชชิ่ง (แม้ว่าพวกเขาจะมีความซับซ้อนมากขึ้น)
ผู้ล้างแค้นที่มีเครา	วิธีที่เร็วที่สุดในการบริโภคข่าวกรองภัยคุกคาม ผู้สืบทอดต่อ CIF
เครือข่ายแลกเปลี่ยนภัยคุกคาม Blueliv	อนุญาตให้ผู้เข้าร่วมแบ่งปันตัวชี้วัดภัยคุกคามกับชุมชน
เยื่อหุ้มสมอง	Cortex อนุญาตให้สังเกตได้เช่น IPS, ที่อยู่อีเมล, URL, ชื่อโดเมน, ไฟล์หรือแฮชเพื่อวิเคราะห์ทีละหนึ่งหรือในโหมดจำนวนมากโดยใช้เว็บอินเตอร์เฟสเดียว เว็บอินเตอร์เฟสทำหน้าที่เป็นส่วนหนึ่งสำหรับเครื่องวิเคราะห์จำนวนมากขจัดความจำเป็นในการรวมตัวเองเหล่านี้ในระหว่างการวิเคราะห์ นักวิเคราะห์ยังสามารถใช้ Cortex REST API เพื่อทำการวิเคราะห์โดยอัตโนมัติ
รอยด่าง	Crits เป็นแพลตฟอร์มที่ให้นักวิเคราะห์มีวิธีการวิจัยการทำงานร่วมกันในมัลแวร์และภัยคุกคาม มันเสียบเข้ากับพื้นที่เก็บข้อมูลข้อมูลข่าวกรองส่วนกลาง แต่ยังสามารถใช้เป็นอินสแตนซ์ส่วนตัวได้
CIF	กรอบข่าวกรองร่วม (CIF) ช่วยให้คุณสามารถรวมข้อมูลภัยคุกคามที่เป็นอันตรายที่รู้จักจากหลายแหล่งและใช้ข้อมูลนั้นสำหรับ IR การตรวจจับและการบรรเทา รหัสที่มีอยู่ใน GitHub
ctix	CTIX เป็นแพลตฟอร์มข่าวกรองการคุกคามของเซิร์ฟเวอร์ลูกค้าที่ชาญฉลาด (TIP) สำหรับการกลืนกินการเพิ่มคุณค่าการวิเคราะห์และการแบ่งปันข้อมูลภัยคุกคามสองทิศทางภายในเครือข่ายที่เชื่อถือได้ของคุณ
แพลตฟอร์ม EclecticiQ	แพลตฟอร์ม EclecticiQ เป็นแพลตฟอร์มข่าวกรองการคุกคามที่ใช้ STIX/Taxii (TIP) ที่ให้อำนาจนักวิเคราะห์ภัยคุกคามให้ทำการตรวจสอบได้เร็วขึ้นดีขึ้นและลึกลงไปในขณะที่เผยแพร่ข่าวกรองที่ความเร็วของเครื่องจักร
Intelmq	Intelmq เป็นโซลูชันสำหรับใบรับรองสำหรับการรวบรวมและประมวลผลฟีดความปลอดภัย, pastebins, ทวีตโดยใช้โปรโตคอลคิวข้อความ มันเป็นความคิดริเริ่มที่ขับเคลื่อนด้วยชุมชนที่เรียกว่า IHAP (โครงการการจัดการอัตโนมัติที่เกิดขึ้น) ซึ่งได้รับการออกแบบตามแนวคิดโดย European Certs ในช่วงกิจกรรม InfOSEC หลายครั้ง เป้าหมายหลักของมันคือการให้ผู้ตอบโต้เหตุการณ์เป็นวิธีที่ง่ายในการรวบรวมและประมวลผลข่าวกรองภัยคุกคามซึ่งจะช่วยปรับปรุงกระบวนการจัดการเหตุการณ์ของใบรับรอง
Intelowl	Intel Owl เป็นโซลูชัน OSINT เพื่อรับข้อมูลข่าวกรองภัยคุกคามเกี่ยวกับไฟล์เฉพาะ IP หรือโดเมนจาก API เดียวในระดับ Intel Owl ประกอบด้วยเครื่องวิเคราะห์ที่สามารถเรียกใช้เพื่อดึงข้อมูลจากแหล่งภายนอก (เช่น virustotal หรือ arjectIPDB) หรือเพื่อสร้าง Intel จากเครื่องวิเคราะห์ภายใน (เช่น Yara หรือ Oletools) มันสามารถรวมเข้าด้วยกันได้อย่างง่ายดายในเครื่องมือรักษาความปลอดภัยของคุณ (Pyintelowl) เพื่อให้งานทั่วไปดำเนินการโดยอัตโนมัติเช่นโดยนักวิเคราะห์ SOC ด้วยตนเอง
พอร์ทัลข่าวกรองภัยคุกคาม Kaspersky	เว็บไซต์ที่ให้ฐานความรู้ที่อธิบายถึงภัยคุกคามทางไซเบอร์วัตถุที่ถูกกฎหมายและความสัมพันธ์ของพวกเขานำมารวมกันเป็นบริการเว็บเดียว การสมัครรับพอร์ทัลข่าวกรองภัยคุกคามของ Kaspersky Lab ให้คุณได้รับการเข้าสู่บริการเสริมสี่จุด: Kaspersky Data Data Feeds, การรายงานข่าวกรองภัยคุกคาม, การค้นหาภัยคุกคาม Kaspersky และ Kaspersky Research Sandbox
มัลสตรอม	Malstrom มีจุดมุ่งหมายที่จะเป็นที่เก็บสำหรับการติดตามภัยคุกคามและสิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ แต่ยังเก็บกฎของ Yara และบันทึกย่อสำหรับการสอบสวน หมายเหตุ: โครงการ GitHub ได้รับการเก็บถาวร (ไม่ยอมรับการมีส่วนร่วมใหม่)
มานาติ	โครงการ Manati ช่วยนักวิเคราะห์ภัยคุกคามโดยใช้เทคนิคการเรียนรู้ของเครื่องที่ค้นหาความสัมพันธ์ใหม่และการอนุมานโดยอัตโนมัติ
ตั๊กแตนตำข้าว	การวิเคราะห์แบบจำลองของแหล่งข้อมูลข่าวกรองการคุกคาม (Mantis) กรอบการจัดการข่าวกรองการคุกคามไซเบอร์สนับสนุนการจัดการข่าวกรองภัยคุกคามไซเบอร์ที่แสดงในภาษามาตรฐานต่าง ๆ เช่น Stix และ Cybox มันคือ * ไม่ * พร้อมสำหรับการผลิตขนาดใหญ่
megatron	Megatron เป็นเครื่องมือที่ใช้โดย Cert-SE ซึ่งรวบรวมและวิเคราะห์ IPS ที่ไม่ดีสามารถใช้ในการคำนวณสถิติแปลงและวิเคราะห์ไฟล์บันทึกและในการละเมิดและการจัดการเหตุการณ์
minemeld	กรอบการประมวลผลข่าวกรองการคุกคามที่ขยายได้สร้างเครือข่าย Palo Alto มันสามารถใช้ในการจัดการรายการตัวชี้วัดและแปลงและ/หรือรวมพวกเขาเพื่อการบริโภคโดยโครงสร้างพื้นฐานการบังคับใช้ของบุคคลที่สาม
ผิดพลาด	แพลตฟอร์มการแชร์ข้อมูลมัลแวร์ (MISP) เป็นโซลูชันซอฟต์แวร์โอเพ่นซอร์สสำหรับการรวบรวมจัดเก็บจัดจำหน่ายและแบ่งปันตัวชี้วัดความปลอดภัยในโลกไซเบอร์และการวิเคราะห์มัลแวร์
N6	N6 (การแลกเปลี่ยนเหตุการณ์ความปลอดภัยเครือข่าย) เป็นระบบในการรวบรวมจัดการและแจกจ่ายข้อมูลความปลอดภัยในขนาดใหญ่ การแจกแจงจะรับรู้ผ่าน REST API อย่างง่ายและเว็บอินเตอร์เฟสที่ผู้ใช้ที่ได้รับอนุญาตสามารถใช้เพื่อรับข้อมูลประเภทต่าง ๆ โดยเฉพาะข้อมูลเกี่ยวกับภัยคุกคามและเหตุการณ์ในเครือข่ายของพวกเขา มันได้รับการพัฒนาโดย Cert Polska
Opencti	Opencti แพลตฟอร์มข่าวกรองการคุกคามไซเบอร์แบบเปิดช่วยให้องค์กรสามารถจัดการความรู้ด้านข่าวกรองและการสังเกตการณ์ของพวกเขาในโลกไซเบอร์ เป้าหมายคือการจัดโครงสร้างจัดเก็บจัดระเบียบและแสดงภาพข้อมูลทางเทคนิคและไม่ใช่ด้านเทคนิคเกี่ยวกับภัยคุกคามทางไซเบอร์ ข้อมูลมีโครงสร้างรอบ ๆ สคีมาความรู้ตามมาตรฐาน STIX2 OpenCti สามารถรวมเข้ากับเครื่องมือและแพลตฟอร์มอื่น ๆ รวมถึง MISP, TheHive และ Miter Att & CK, AO
Openioc	OpenIOC เป็นกรอบเปิดสำหรับการแบ่งปันข่าวกรองภัยคุกคาม มันถูกออกแบบมาเพื่อแลกเปลี่ยนข้อมูลภัยคุกคามทั้งภายในและภายนอกในรูปแบบที่ย่อยได้ของเครื่อง
opentaxii	Opentaxii เป็นการใช้งาน Python ที่แข็งแกร่งของบริการ Taxii ที่ให้บริการชุดคุณสมบัติที่หลากหลายและ Pythonic API ที่เป็นมิตรที่สร้างขึ้นบนแอปพลิเคชันที่ออกแบบมาอย่างดี
Ostrica	เฟรมเวิร์กที่เน้นปลั๊กอินโอเพนซอร์สเพื่อรวบรวมและแสดงข้อมูลข่าวกรองภัยคุกคาม
OTX - การแลกเปลี่ยนภัยคุกคามแบบเปิด	AlienVault Open Take Exchange (OTX) ให้การเข้าถึงชุมชนระดับโลกของนักวิจัยภัยคุกคามและผู้เชี่ยวชาญด้านความปลอดภัย มันให้ข้อมูลภัยคุกคามที่สร้างจากชุมชนช่วยให้สามารถวิจัยร่วมกันได้
เปิดการแลกเปลี่ยนคู่ค้าภัยคุกคาม	Open Threat Partner Exchange (OpENTPX) ประกอบด้วยรูปแบบและเครื่องมือโอเพนซอร์ซสำหรับการแลกเปลี่ยนข้อมูลข่าวกรองการคุกคามที่อ่านได้และการดำเนินงานด้านความปลอดภัยของเครือข่าย เป็นรูปแบบที่ใช้ JSON ที่อนุญาตให้แบ่งปันข้อมูลระหว่างระบบที่เชื่อมต่อ
เกี่ยวกับ passivetototal	แพลตฟอร์ม passivetotal ที่นำเสนอโดย Riskiq เป็นแพลตฟอร์มการวิเคราะห์ภัยคุกคามที่ให้ข้อมูลมากที่สุดนักวิเคราะห์เพื่อป้องกันการโจมตีก่อนที่จะเกิดขึ้น มีการเสนอโซลูชั่นหลายประเภทรวมถึงการรวม (APIs) กับระบบอื่น ๆ
เป็นจังหวะ	PulsEdive เป็นแพลตฟอร์มข่าวกรองภัยคุกคามของชุมชนฟรีที่ใช้ฟีดโอเพนซอร์ซที่เพิ่มคุณค่าให้กับ IOCs และดำเนินการผ่านอัลกอริทึมการให้คะแนนความเสี่ยงเพื่อปรับปรุงคุณภาพของข้อมูล ช่วยให้ผู้ใช้สามารถส่งค้นหาสหสัมพันธ์และอัปเดต IOCs; รายการ "ปัจจัยเสี่ยง" สำหรับสาเหตุที่ IOCs มีความเสี่ยงสูง and provides a high level view of threats and threat activity.
Recorded Future	Recorded Future is a premium SaaS product that automatically unifies threat intelligence from open, closed, and technical sources into a single solution. Their technology uses natural language processing (NLP) and machine learning to deliver that threat intelligence in real time — making Recorded Future a popular choice for IT security teams.
Scumblr	Scumblr is a web application that allows performing periodic syncs of data sources (such as Github repositories and URLs) and performing analysis (such as static analysis, dynamic checks, and metadata collection) on the identified results. Scumblr helps you streamline proactive security through an intelligent automation framework to help you identify, track, and resolve security issues faster.
STAXX (Anomali)	Anomali STAXX™ gives you a free, easy way to subscribe to any STIX/TAXII feed. Simply download the STAXX client, configure your data sources, and STAXX will handle the rest.
stoQ	stoQ is a framework that allows cyber analysts to organize and automate repetitive, data-driven tasks. It features plugins for many other systems to interact with. One use case is the extraction of IOCs from documents, an example of which is shown here, but it can also be used for deobfuscationg and decoding of content and automated scanning with YARA, for example.
TARDIS	The Threat Analysis, Reconnaissance, and Data Intelligence System (TARDIS) is an open source framework for performing historical searches using attack signatures.
ThreatConnect	ThreatConnect is a platform with threat intelligence, analytics, and orchestration capabilities. It is designed to help you collect data, produce intelligence, share it with others, and take action on it.
ThreatCrowd	ThreatCrowd is a system for finding and researching artefacts relating to cyber threats.
ThreatPipes	Stay two steps ahead of your adversaries. Get a complete picture of how they will exploit you. ThreatPipes is a reconnaissance tool that automatically queries 100's of data sources to gather intelligence on IP addresses, domain names, e-mail addresses, names and more. You simply specify the target you want to investigate, pick which modules to enable and then ThreatPipes will collect data to build up an understanding of all the entities and how they relate to each other.
ThreatExchange	Facebook created ThreatExchange so that participating organizations can share threat data using a convenient, structured, and easy-to-use API that provides privacy controls to enable sharing with only desired groups. This project is still in beta . Reference code can be found at GitHub.
TypeDB CTI	TypeDB Data - CTI is an open source threat intelligence platform for organisations to store and manage their cyber threat intelligence (CTI) knowledge. It enables threat intel professionals to bring together their disparate CTI information into one database and find new insights about cyber threats. This repository provides a schema that is based on STIX2, and contains MITRE ATT&CK as an example dataset to start exploring this threat intelligence platform. More in this blog post.
VirusBay	VirusBay is a web-based, collaboration platform that connects security operations center (SOC) professionals with relevant malware researchers.
threatnote.io	The new and improved threatnote.io - A tool for CTI analysts and teams to manage intel requirements, reporting, and CTI processes in an all-in-one platform
XFE - X-Force Exchange	The X-Force Exchange (XFE) by IBM XFE is a free SaaS product that you can use to search for threat intelligence information, collect your findings, and share your insights with other members of the XFE community.
Yeti	The open, distributed, machine and analyst-friendly threat intelligence repository. Made by and for incident responders.

เครื่องมือ

All kinds of tools for parsing, creating and editing Threat Intelligence. Mostly IOC based.

ActorTrackr	ActorTrackr is an open source web application for storing/searching/linking actor related data. The primary sources are from users and various public repositories. Source available on GitHub.
AIEngine	AIEngine is a next generation interactive/programmable Python/Ruby/Java/Lua packet inspection engine with capabilities of learning without any human intervention, NIDS(Network Intrusion Detection System) functionality, DNS domain classification, network collector, network forensics and many others.
AIOCRIOC	Artificial Intelligence Ocular Character Recognition Indicator of Compromise (AIOCRIOC) is a tool that combines web scraping, the OCR capabilities of Tesseract and OpenAI compatible LLM API's such as GPT-4 to parse and extract IOCs from reports and other web content including embedded images with contextual data.
Analyze (Intezer)	Analyze is an all-in-one malware analysis platform that is able to perform static, dynamic, and genetic code analysis on all types of files. Users can track malware families, extract IOCs/MITRE TTPs, and download YARA signatures. There is a community edition to get started for free.
Automater	Automater is a URL/Domain, IP Address, and Md5 Hash OSINT tool aimed at making the analysis process easier for intrusion Analysts.
BlueBox	BlueBox is an OSINT solution to get threat intelligence data about a specific file, an IP, a domain or URL and analyze them.
BotScout	BotScout helps prevent automated web scripts, known as "bots", from registering on forums, polluting databases, spreading spam, and abusing forms on web sites.
bro-intel-generator	Script for generating Bro intel files from pdf or html reports.
cabby	A simple Python library for interacting with TAXII servers.
cacador	Cacador is a tool written in Go for extracting common indicators of compromise from a block of text.
รวมกัน	Combine gathers Threat Intelligence Feeds from publicly available sources.
CrowdFMS	CrowdFMS is a framework for automating collection and processing of samples from VirusTotal, by leveraging the Private API system. The framework automatically downloads recent samples, which triggered an alert on the users YARA notification feed.
CyberGordon	CyberGordon is a threat intelligence search engine. It leverages 30+ sources.
CyBot	CyBot is a threat intelligence chat bot. It can perform several types of lookups offered by custom modules.
Cuckoo Sandbox	Cuckoo Sandbox is an automated dynamic malware analysis system. It's the most well-known open source malware analysis sandbox around and is frequently deployed by researchers, CERT/SOC teams, and threat intelligence teams all around the globe. For many organizations Cuckoo Sandbox provides a first insight into potential malware samples.
Fenrir	Simple Bash IOC Scanner.
FireHOL IP Aggregator	Application for keeping feeds from FireHOL blocklist-ipsets with IP addresses appearance history. HTTP-based API service is developed for search requests.
Forager	Multithreaded threat intelligence hunter-gatherer script.
Gigasheet	Gigasheet is a SaaS product used to analyze massive, and disparate cybersecurity data sets. Import massive log files, netflow, pcaps, big CSVs and more.
GoatRider	GoatRider is a simple tool that will dynamically pull down Artillery Threat Intelligence Feeds, TOR, AlienVaults OTX, and the Alexa top 1 million websites and do a comparison to a hostname file or IP file.
Google APT Search Engine	APT Groups, Operations and Malware Search Engine. The sources used for this Google Custom Search are listed on this GitHub gist.
GOSINT	The GOSINT framework is a free project used for collecting, processing, and exporting high quality public indicators of compromise (IOCs).
hashdd	A tool to lookup related information from crytographic hash value
Harbinger Threat Intelligence	Python script that allows to query multiple online threat aggregators from a single interface.
Hippocampe	Hippocampe aggregates threat feeds from the Internet in an Elasticsearch cluster. It has a REST API which allows to search into its 'memory'. It is based on a Python script which fetchs URLs corresponding to feeds, parses and indexes them.
Hiryu	A tool to organize APT campaign information and to visualize relations between IOCs.
IOC Editor	A free editor for Indicators of Compromise (IOCs).
IOC Finder	Python library for finding indicators of compromise in text. Uses grammars rather than regexes for improved comprehensibility. As of February, 2019, it parses over 18 indicator types.
IOC Fanger (and Defanger)	Python library for fanging (`hXXp://example[.]com` => `http://example.com`) and defanging (`http://example.com` => `hXXp://example[.]com`) indicators of compromise in text.
ioc_parser	Tool to extract indicators of compromise from security reports in PDF format.
ioc_writer	Provides a Python library that allows for basic creation and editing of OpenIOC objects.
iocextract	Extracts URLs, IP addresses, MD5/SHA hashes, email addresses, and YARA rules from text corpora. Includes some encoded and “defanged” IOCs in the output, and optionally decodes/refangs them.
IOCextractor	IOC (Indicator of Compromise) Extractor is a program to help extract IOCs from text files. The general goal is to speed up the process of parsing structured data (IOCs) from unstructured or semi-structured data
ibmxforceex.checker.py	Python client for the IBM X-Force Exchange.
jager	Jager is a tool for pulling useful IOCs (indicators of compromise) out of various input sources (PDFs for now, plain text really soon, webpages eventually) and putting them into an easy to manipulate JSON format.
Kaspersky CyberTrace	Threat intelligence fusion and analysis tool that integrates threat data feeds with SIEM solutions. Users can immediately leverage threat intelligence for security monitoring and incident report (IR) activities in the workflow of their existing security operations.
KLara	KLara, a distributed system written in Python, allows researchers to scan one or more Yara rules over collections with samples, getting notifications by e-mail as well as the web interface when scan results are ready.
libtaxii	A Python library for handling TAXII Messages invoking TAXII Services.
Loki	Simple IOC and Incident Response Scanner.
LookUp	LookUp is a centralized page to get various threat information about an IP address. It can be integrated easily into context menus of tools like SIEMs and other investigative tools.
Machinae	Machinae is a tool for collecting intelligence from public sites/feeds about various security-related pieces of data: IP addresses, domain names, URLs, email addresses, file hashes and SSL fingerprints.
MalPipe	Amodular malware (and indicator) collection and processing framework. It is designed to pull malware, domains, URLs and IP addresses from multiple feeds, enrich the collected data and export the results.
MISP Workbench	Tools to export data out of the MISP MySQL database and use and abuse them outside of this platform.
MISP-Taxii-Server	A set of configuration files to use with EclecticIQ's OpenTAXII implementation, along with a callback for when data is sent to the TAXII Server's inbox.
MSTIC Jupyter and Python Security Tools	msticpy is a library for InfoSec investigation and hunting in Jupyter Notebooks.
nyx	The goal of this project is to facilitate distribution of Threat Intelligence artifacts to defensive systems and to enhance the value derived from both open source and commercial tools.
OneMillion	Python library to determine if a domain is in the Alexa or Cisco top, one million domain lists.
openioc-to-stix	Generate STIX XML from OpenIOC XML.
Omnibus	Omnibus is an interactive command line application for collecting and managing IOCs/artifacts (IPs, Domains, Email Addresses, Usernames, and Bitcoin Addresses), enriching these artifacts with OSINT data from public sources, and providing the means to store and access these artifacts in a simple way.
OSTIP	A homebrew threat data platform.
poortego	Open-source project to handle the storage and linking of open-source intelligence (ala Maltego, but free as in beer and not tied to a specific / proprietary database). Originally developed in ruby, but new codebase completely rewritten in python.
PyIOCe	PyIOCe is an IOC editor written in Python.
QRadio	QRadio is a tool/framework designed to consolidate cyber threats intelligence sources. The goal of the project is to establish a robust modular framework for extraction of intelligence data from vetted sources.
rastrea2r	Collecting & Hunting for Indicators of Compromise (IOC) with gusto and style!
Redline	A host investigations tool that can be used for, amongst others, IOC analysis.
RITA	Real Intelligence Threat Analytics (RITA) is intended to help in the search for indicators of compromise in enterprise networks of varying size.
Softrace	Lightweight National Software Reference Library RDS storage.
sqhunter	Threat hunter based on osquery, Salt Open and Cymon API. It can query open network sockets and check them against threat intelligence sources
SRA TAXII2 Server	Full TAXII 2.0 specification server implemented in Node JS with MongoDB backend.
Stixvalidator.com	Stixvalidator.com is an online free STIX and STIX2 validator service.
Stixview	Stixview is a JS library for embeddable interactive STIX2 graphs.
stix-viz	STIX Visualization Tool.
TAXII Test Server	Allows you to test your TAXII environment by connecting to the provided services and performing the different functions as written in the TAXII specifications.
threataggregator	ThreatAggregrator aggregates security threats from a number of online sources, and outputs to various formats, including CEF, Snort and IPTables rules.
threatcrowd_api	Python Library for ThreatCrowd's API.
threatcmd	Cli interface to ThreatCrowd.
Threatelligence	Threatelligence is a simple cyber threat intelligence feed collector, using Elasticsearch, Kibana and Python to automatically collect intelligence from custom or public sources. Automatically updates feeds and tries to further enhance data for dashboards. Projects seem to be no longer maintained, however.
ThreatIngestor	Flexible, configuration-driven, extensible framework for consuming threat intelligence. ThreatIngestor can watch Twitter, RSS feeds, and other sources, extract meaningful information like C2 IPs/domains and YARA signatures, and send that information to other systems for analysis.
ThreatPinch Lookup	An extension for Chrome that creates hover popups on every page for IPv4, MD5, SHA2, and CVEs. It can be used for lookups during threat investigations.
ThreatTracker	A Python script designed to monitor and generate alerts on given sets of IOCs indexed by a set of Google Custom Search Engines.
threat_intel	Several APIs for Threat Intelligence integrated in a single package. Included are: OpenDNS Investigate, VirusTotal and ShadowServer.
Threat-Intelligence-Hunter	TIH is an intelligence tool that helps you in searching for IOCs across multiple openly available security feeds and some well known APIs. The idea behind the tool is to facilitate searching and storing of frequently added IOCs for creating your own local database of indicators.
tiq-test	The Threat Intelligence Quotient (TIQ) Test tool provides visualization and statistical analysis of TI feeds.
YETI	YETI is a proof-of-concept implementation of TAXII that supports the Inbox, Poll and Discovery services defined by the TAXII Services Specification.

Research, Standards & Books

All kinds of reading material about Threat Intelligence. Includes (scientific) research and whitepapers.

APT & Cyber Criminal Campaign Collection	Extensive collection of (historic) campaigns. Entries come from various sources.
APTnotes	A great collection of sources regarding Advanced Persistent Threats (APTs). These reports usually include strategic and tactical knowledge or advice.
ATT&CK	Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) is a model and framework for describing the actions an adversary may take while operating within an enterprise network. ATT&CK is a constantly growing common reference for post-access techniques that brings greater awareness of what actions may be seen during a network intrusion. MITRE is actively working on integrating with related construct, such as CAPEC, STIX and MAEC.
Building Threat Hunting Strategies with the Diamond Model	Blogpost by Sergio Caltagirone on how to develop intelligent threat hunting strategies by using the Diamond Model.
Cyber Analytics Repository by MITRE	The Cyber Analytics Repository (CAR) is a knowledge base of analytics developed by MITRE based on the Adversary Tactics, Techniques, and Common Knowledge (ATT&CK™) threat model.
Cyber Threat Intelligence Capability Maturity Model (CTI-CMM)	A new Cyber Threat Intelligence Capability Maturity Model (CTI-CMM) using a stakeholder-first approach and aligned with the Cybersecurity Capability Maturity Model (C2M2) to empower your team and create lasting value.
Cyber Threat Intelligence Repository by MITRE	The Cyber Threat Intelligence Repository of ATT&CK and CAPEC catalogs expressed in STIX 2.0 JSON.
Cyber Threat Intelligence: A Product Without a Process?	A research paper describing how current cyber threat intelligence products fall short and how they can be improved by introducing and evaluating sound methodologies and processes.
Definitive Guide to Cyber Threat Intelligence	Describes the elements of cyber threat intelligence and discusses how it is collected, analyzed, and used by a variety of human and technology consumers. Further examines how intelligence can improve cybersecurity at tactical, operational, and strategic levels, and how it can help you stop attacks sooner, improve your defenses, and talk more productively about cybersecurity issues with executive management in typical for Dummies style.
The Detection Maturity Level (DML)	The DML model is a capability maturity model for referencing ones maturity in detecting cyber attacks. It's designed for organizations who perform intel-driven detection and response and who put an emphasis on having a mature detection program. The maturity of an organization is not measured by it's ability to merely obtain relevant intelligence, but rather it's capacity to apply that intelligence effectively to detection and response functions.
The Diamond Model of Intrusion Analysis	This paper presents the Diamond Model, a cognitive framework and analytic instrument to support and improve intrusion analysis. Supporting increased measurability, testability and repeatability in intrusion analysis in order to attain higher effectivity, efficiency and accuracy in defeating adversaries is one of its main contributions.
The Targeting Process: D3A and F3EAD	F3EAD is a military methodology for combining operations and intelligence.
Guide to Cyber Threat Information Sharing by NIST	The Guide to Cyber Threat Information Sharing (NIST Special Publication 800-150) assists organizations in establishing computer security incident response capabilities that leverage the collective knowledge, experience, and abilities of their partners by actively sharing threat intelligence and ongoing coordination. The guide provides guidelines for coordinated incident handling, including producing and consuming data, participating in information sharing communities, and protecting incident-related data.
Intelligence Preparation of the Battlefield/Battlespace	This publication discusses intelligence preparation of the battlespace (IPB) as a critical component of the military decision making and planning process and how IPB supports decision making, as well as integrating processes and continuing activities.
Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains	The intrusion kill chain as presented in this paper provides one with a structured approach to intrusion analysis, indicator extraction and performing defensive actions.
ISAO Standards Organization	The ISAO Standards Organization is a non-governmental organization established on October 1, 2015. Its mission is to improve the Nation's cybersecurity posture by identifying standards and guidelines for robust and effective information sharing related to cybersecurity risks, incidents, and best practices.
Joint Publication 2-0: Joint Intelligence	This publication by the US army forms the core of joint intelligence doctrine and lays the foundation to fully integrate operations, plans and intelligence into a cohesive team. The concepts presented are applicable to (Cyber) Threat Intelligence too.
Microsoft Research Paper	A framework for cybersecurity information sharing and risk reduction. A high level overview paper by Microsoft.
MISP Core Format (draft)	This document describes the MISP core format used to exchange indicators and threat information between MISP (Malware Information and threat Sharing Platform) instances.
NECOMA Project	The Nippon-European Cyberdefense-Oriented Multilayer threat Analysis (NECOMA) research project is aimed at improving threat data collection and analysis to develop and demonstratie new cyberdefense mechanisms. As part of the project several publications and software projects have been published.
Pyramid of Pain	The Pyramid of Pain is a graphical way to express the difficulty of obtaining different levels of indicators and the amount of resources adversaries have to expend when obtained by defenders.
Structured Analytic Techniques For Intelligence Analysis	This book contains methods that represent the most current best practices in intelligence, law enforcement, homeland security, and business analysis.
Threat Intelligence: Collecting, Analysing, Evaluating	This report by MWR InfoSecurity clearly describes several different types of threat intelligence, including strategic, tactical and operational variations. It also discusses the processes of requirements elicitation, collection, analysis, production and evaluation of threat intelligence. Also included are some quick wins and a maturity model for each of the types of threat intelligence defined by MWR InfoSecurity.
Threat Intelligence Sharing Platforms: An Exploratory Study of Software Vendors and Research Perspectives	A systematic study of 22 Threat Intelligence Sharing Platforms (TISP) surfacing eight key findings about the current state of threat intelligence usage, its definition and TISPs.
Traffic Light Protocol	The Traffic Light Protocol (TLP) is a set of designations used to ensure that sensitive information is shared with the correct audience. It employs four colors to indicate different degrees of sensitivity and the corresponding sharing considerations to be applied by the recipient(s).
Unit42 Playbook Viewer	The goal of the Playbook is to organize the tools, techniques, and procedures that an adversary uses into a structured format, which can be shared with others, and built upon. The frameworks used to structure and share the adversary playbooks are MITRE's ATT&CK Framework and STIX 2.0
Who's Using Cyberthreat Intelligence and How?	A whitepaper by the SANS Institute describing the usage of Threat Intelligence including a survey that was performed.
WOMBAT Project	The WOMBAT project aims at providing new means to understand the existing and emerging threats that are targeting the Internet economy and the net citizens. To reach this goal, the proposal includes three key workpackages: (i) real time gathering of a diverse set of security related raw data, (ii) enrichment of this input by means of various analysis techniques, and (iii) root cause identification and understanding of the phenomena under scrutiny.