awesome threat intelligence
1.0.0
精選的令人敬畏的威脅情報資源清單
威脅情報的簡潔定義:基於證據的知識,包括上下文,機制,指標,含義和可行的建議,涉及現有或新興的威脅或對資產的危害,可用於為對像對該威脅或危害的響應做出決定。
隨時做出貢獻。
下面列出的大多數資源都提供了列表和/或API,以獲取有關威脅的最新信息。有些人將這些來源視為威脅情報,但觀點有所不同。需要一定數量的(領域或特定於業務的)分析來創建真正的威脅智能。
| Baushipdb | BaushipDB是一個致力於幫助互聯網上黑客,垃圾郵件發送者和虐待活動的傳播的項目。它的使命是通過為網站管理員,系統管理員和其他有關方面提供中心黑名單來幫助使網絡更安全,以報告和查找與惡意活動在線有關的IP地址。 |
| Alexa前100萬個網站 | 來自亞馬遜(Alexa)的前100萬個網站。切勿將其用作白名單。 |
| 合適的小組和操作 | 電子表格,其中包含有關APT組,操作和策略的信息和智能。 |
| 二進制國防IP BANLIST | 二進制防禦系統砲兵威脅情報飼料和IP BANLIST FEED。 |
| BGP排名 | ASN的排名最為惡意。 |
| 殭屍網絡跟踪器 | 跟踪幾個活動殭屍網絡。 |
| botvrij.eu | botvrij.eu提供了不同的開源IOC集合,您可以在安全設備中使用它們來檢測可能的惡意活動。 |
| BruteforceBlocker | BruteForceBlocker是一個Perl腳本,可監視服務器的SSHD日誌並確定蠻力攻擊,然後它用於自動配置防火牆阻止規則並將這些IPS提交給Project Site,http://danger.rulez.rulez.sk/proulez.sk/proutejects/proutess/bruteforceblocker/blocker/blist.phpp。 |
| C&C跟踪器 | Bambenek Consulting的已知,活躍和非關聯C&C IP地址的提要。需要商業用途的許可證。 |
| CERTSTREAM | 實時證書透明度日誌更新流。在實時頒發時,請參見SSL證書。 |
| CCSS論壇惡意軟件證書 | 以下是該論壇報告的數字證書列表,可能與各種證書機構與惡意軟件相關聯。此信息旨在幫助防止公司使用數字證書為惡意軟件增加合法性,並鼓勵迅速撤銷此類證書。 |
| CI軍隊名單 | 商業CINS得分列表的一個子集,重點是當前在其他威脅主義者上不存在的IP的IPS。 |
| 思科傘 | 思科傘(是Opendns)解決的前100萬個地點的可能的白名單。 |
| CloudMersive病毒掃描 | CloudMersive病毒掃描API掃描文件,URL和雲存儲。他們利用不斷更新數百萬個威脅和高級高性能掃描功能的簽名。該服務是免費的,但要求您註冊一個帳戶以檢索您的個人API密鑰。 |
| Crowdsec控制台 | 得益於CrowdSec的下一代,開源,免費和協作IDS/IPS軟件,最大的人群CTI是在接近實時更新的。 Crowdsec能夠分析訪客行為並對各種攻擊提供適應性的反應。用戶可以與社區分享有關威脅的警報,並從網絡效應中受益。 IP地址是從真實攻擊中收集的,不僅來自HoneyPot網絡。 |
| 網絡治療免費智能供稿 | Cyber Cure提供免費的網絡威脅智能供稿,其中包含當前感染和攻擊互聯網的IP地址列表。惡意軟件使用的URL列表以及當前正在擴展的已知惡意軟件的哈希文件列表。 Cybercure使用傳感器以非常低的假正率收集智能。詳細的文檔也可用。 |
| cyware威脅智能提要 | Cyware的威脅智能饋送為您帶來了來自廣泛的開放和值得信賴的來源的寶貴威脅數據,以提供有價值和可行的威脅情報的合併流。我們的威脅Intel Feed與Stix 1.x和2.0完全兼容,為您提供有關惡意惡意軟件,IP和域的最新信息。 |
| dataplane.org | DataPlane.org是經營者的運營商的社區驅動的Internet數據,供稿和測量資源。我們免費提供可靠且值得信賴的服務。 |
| focsec.com | FOCSEC.com提供了用於檢測VPN,ProXYS,BOT和TOR請求的API。始終最新數據有助於檢測可疑登錄,欺詐和濫用。代碼示例可以在文檔中找到。 |
| Digitalside威脅智能 | 包含一組開源網絡威脅智能指標,主要是基於惡意軟件分析和損害URL,IPS和域。該項目的目的是開發和測試新的方法來狩獵,分析,收集和共享相關的IOC,以減少SOC/CSIRT/CSIRT/CERT/個人使用Minimun努力。報告以三種方式共享:Stix2,CSV和MISP提要。報告也發表在項目的GIT存儲庫中。 |
| 一次性電子郵件域 | 通常用於垃圾郵件/濫用服務的匿名或一次性電子郵件域的集合。 |
| DNS踪跡 | 當前和歷史DNS信息,WHOIS信息,查找與某些IPS,子域知識和技術相關的其他網站的免費情報源。還有一個IP和域智能API。 |
| 新興威脅防火牆規則 | 包括iPtables,PF和Pix在內的幾種類型的防火牆的規則集合。 |
| 新興威脅IDS規則 | SNORT和SURICATA的集合規則文件,可用於警報或阻止。 |
| 彈奏者 | Exonerator Service維護已成為TOR網絡一部分的IP地址的數據庫。它回答了一個問題,是否在給定日期在給定的IP地址上運行TOR繼電器。 |
| 利用 | 發布的最新漏洞列表。 |
| FastIntercept | Intercept Security從其全球蜜罐網絡中託管了許多免費的IP聲譽列表。 |
| 宙斯追踪器 | Feodo追踪器濫用。 CH跟踪Feodo Trojan。 |
| Firehol IP列表 | 分析了400多種公開可用的IP提要,以記錄其演變,地理圖,IPS年齡,保留政策,重疊。該網站側重於網絡犯罪(攻擊,濫用,惡意軟件)。 |
| 欺詐行為 | FraudGuard是一項旨在通過連續收集和分析實時互聯網流量來提供簡便方法來驗證使用的簡便方法。 |
| 灰色 | Greynoise收集和分析有關範圍範圍掃描活動的數據。它收集有關良性掃描儀(例如Shodan.io)的數據,以及SSH和Telnet Worms等惡意演員。 |
| honeydb | HoneyDB提供了蜜罐活動的實時數據。這些數據來自使用Honeypy Honeypot在Internet上部署的Honeypot。此外,HoneyDB還提供了對收集的Honeypot活動的API訪問,其中還包括來自各種Honeypot Twitter feed的匯總數據。 |
| 冰水 | Project Icewater制定的12,805 Yara規則。 |
| Infosec -cert -pa | 惡意軟件樣本收集和分析,排列服務,漏洞數據庫等。由CERT-PA創建和管理。 |
| 查詢實驗室 | 安全研究人員的開放,互動和API驅動的數據門戶。搜索大量的文件樣本,匯總聲譽信息以及從公共來源提取的IOC。通過工具來增強Yara開發,以產生觸發器,處理混合案例十六進制並生成Base64兼容正則表達式。 |
| i-blocklist | I-BlockList維護幾種類型的列表,其中包含屬於各種類別的IP地址。其中一些主要類別包括國家,ISP和組織。其他列表包括Web攻擊,TOR,間諜軟件和代理。許多可以免費使用,並且有各種格式。 |
| ipsum | IPSUM是一個基於30多種可疑和/或惡意IP地址的30多個公開可用列表的威脅情報提要。每天(24h)自動檢索並解析所有列表,並將最終結果推向此存儲庫。列表是由IP地址和(黑色)列表的總數(每個)組成的。由Miroslav Stampar創建和管理。 |
| 詹姆斯·布林威脅情報提要 | 詹姆斯布林(Jamesbrine)提供每日威脅智能供稿,可為惡意IP地址提供雲和私人基礎設施的蜜餞,涵蓋了各種協議,包括SSH,FTP,RDP,GIT,GIT,SNMP和REDIS。前一天的IOC可在Stix2中獲得,以及其他IOC,例如可疑URI和新註冊的域,它們在網絡釣魚活動中具有很高的使用率。 |
| 卡巴斯基威脅數據提要 | 不斷更新並告知您的企業或客戶有關與網絡威脅相關的風險和影響。實時數據可幫助您更有效地減輕威脅,並在啟動之前防禦攻擊。演示數據供稿包含截短的IOC集(最高1%) |
| 雄偉的百萬 | 雄偉的排名,可能是前100萬個網站的白名單。站點由參考子網的數量排序。有關排名的更多信息可以在他們的博客上找到。 |
| Maldatabase | Maldatabase旨在幫助惡意軟件數據科學和威脅智能提要。提供數據包含有關在其他字段中的良好信息,與每個示例刪除的執行過程列表以及刪除文件列表。這些提要使您可以改善監視和安全工具。保安研究人員和學生提供免費服務。 |
| 馬爾德亞 | 馬拉佩亞的主要目標是在調查惡意軟件時為快速識別和可操作的環境提供資源。為了促進有意義和可重複的研究,開放的策劃捐款應確保質量水平。 |
| malshare.com | Malshare項目是一個公共惡意軟件存儲庫,可為研究人員免費訪問樣品。 |
| 馬爾丁斯 | Maltiverse項目是一個很大且豐富的IOC數據庫,可以在其中進行複雜的查詢,以及調查惡意軟件活動及其基礎架構的匯總。它還具有出色的IOC散裝查詢服務。 |
| Malwarebazaar | Malwarebazaar是一個來自abus.ch的項目,目的是與Infosec社區,AV供應商和威脅情報提供商共享惡意軟件樣本。 |
| 惡意軟件域列表 | 可搜索的惡意域列表,還可以執行反向查找和列表註冊者,專注於網絡釣魚,特洛伊木馬和利用套件。 |
| 惡意軟件巡邏 | 惡意軟件巡邏隊為各種規模的公司提供塊列表,數據提要和威脅情報。由於我們的專業是網絡威脅智能,因此我們所有的資源都用於確保它具有最高質量。我們認為,安全團隊及其工具僅與所使用的數據一樣好。這意味著我們的飼料沒有被刮擦,未驗證的指標填充。我們重視質量而不是數量。 |
| 惡意軟件交通分析 | 該博客著重於與惡意軟件感染有關的網絡流量。包含流量分析練習,教程,惡意軟件樣本,惡意網絡流量的PCAP文件以及具有觀察結果的技術博客文章。 |
| malwaredomains.com | DNS-BH項目創建並維護了已知用於傳播惡意軟件和間諜軟件的域的清單。這些可用於檢測和預防(污水處理DNS請求)。 |
| Metadefender雲 | MetadeFender雲威脅智能供稿包含新的惡意軟件哈希簽名,包括MD5,SHA1和SHA256。在過去的24小時內,MetadeFender Cloud發現了這些新的惡意哈希。每天都會使用新發現和報告的惡意軟件進行更新,以提供可行和及時的威脅智能。 |
| Netlab Opendata項目 | Netlab Opendata項目於2016年8月16日在ISC'2016年首次向公眾提交。我們目前提供多個數據供稿,包括DGA,EK,Malcon,Malcon,Mirai C2,Mirai-Scanner,Hajime-Scanner和Drdos Reflector。 |
| 不! | SNMP,SSH,Telnet從Matteo Cantoni的Honeypots列入黑名單的IP |
| Normshield服務 | Normshield服務提供了數千個域信息(包括WHOIS信息),可能來自潛在的網絡釣魚攻擊。漏洞和黑名單服務也可用。可以免費註冊用於連續監控的公共服務。 |
| Novasense威脅 | Novasense是SNAPT威脅情報中心,並提供了洞察力和工具,以防止威脅保護和緩解攻擊。 Novasense保護各種規模的客戶免受攻擊者,虐待,殭屍網絡,DOS攻擊等等。 |
| 閉合 | 網絡安全團隊的RSS讀者。將任何博客變成結構化且可操作的威脅情報。 |
| 開放式飼料 | Openphish從多個流中接收URL,並使用其專有的網絡釣魚算法對其進行分析。有免費的商業產品。 |
| 0xsi_f33d | 用於檢測可能的網絡釣魚和惡意軟件域的免費服務,在葡萄牙網絡空間內將IPS列入黑名單。 |
| 天然應 | Phishtank提供了可疑的網絡釣魚URL列表。他們的數據來自人類報告,但他們也盡可能攝取外部飼料。這是一項免費服務,但是有時需要註冊API密鑰。 |
| pickupstix | PickupStix是免費,開源和非商業化網絡威脅智能的提要。目前,PickupStix使用三個公共供稿,每天分發大約100件新的智能。 PickupStix將各種供稿轉換為Stix,可以與任何出租車服務器進行通信。數據是免費使用的,是開始使用網絡威脅智能的好方法。 |
| 撤消威脅英特爾飼料 | [res] CURE是Fruxlabs Crack團隊執行的獨立威脅情報項目,以增強他們對分佈式系統的潛在架構,威脅情報的性質以及如何有效收集,存儲,消費和分發威脅智能的理解。飼料每6小時生成一次。 |
| 第一個雲威脅英特爾供稿 | 從多個開放和社區支持的來源收集和交叉驗證的折衷指標,使用我們的情報平台豐富和排名。 |
| 羅格列入黑名單的IP | SSH蠻力攻擊者的IP列表是由本地觀察到的IP的合併創建的 |
| Sans ICS可疑領域 | SANS ICS的可疑域威脅列表跟踪可疑域。它提供了3個列表,分為高,中或低靈敏度,其中高靈敏度列表的誤報較少,而低靈敏度清單具有更多的假陽性。還有一個批准的領域白名單。 最後,DShield有一個建議的IP放置列表。 |
| SecurityScoreCard IOC | SecurityScoreCard的技術博客文章和報告中的公共訪問IOC。 |
| stixify | 您的自動威脅情報分析師。從非結構化數據中提取機器可讀的智能。 |
| 簽名鹼 | Neo23x0其他工具中使用的簽名數據庫。 |
| Spamhaus項目 | Spamhaus項目包含與垃圾郵件和惡意軟件活動相關的多種威脅清單。 |
| Sophoslabs Intelix | Sophoslabs Intelix是為Sophos產品和合作夥伴提供動力的威脅情報平台。您可以根據文件哈希,URL等訪問智能以及提交樣本進行分析。通過REST API,您可以輕鬆,快速地將此威脅智能添加到系統中。 |
| 刺 | Spur提供了檢測VPN,住宅代理和機器人的工具和數據。免費計劃使用戶可以查找IP並獲得其分類,VPN提供商,IP背後流行的地理位置以及一些更有用的上下文。 |
| SSL黑名單 | SSL黑名單(SSLBL)是一個由濫用行為維護的項目。目的是提供與惡意軟件或殭屍網絡活動相關的“不良” SSL證書的列表。 SSLBL依賴於惡意SSL證書的SHA1指紋,並提供各種黑名單 |
| Statvoo前100萬個網站 | Statvoo的排名,可能是前100萬個網站的白名單。 |
| 強烈的武器,通過知名網絡 | StrongArm是DNS黑洞,通過阻止惡意軟件命令和控制來對妥協指標採取行動。 StrongArm聚集器免費指標提要,與商業供稿集成,利用Percipipent的IOC提要,並操作DNS解析器和API,供您使用以保護您的網絡和業務。 strongarm是免費的。 |
| 暹粒規則 | 您的檢測工程數據庫。查看,修改和部署SIEM的威脅狩獵和檢測規則。 |
| 塔洛斯 | 思科Talos Intelligence Group是世界一流的研究人員,分析師和工程師組成的世界上最大的商業威脅情報團隊之一。這些團隊得到了無與倫比的遙測和復雜系統的支持,為Cisco客戶,產品和服務創造了準確,快速和可行的威脅情報。塔洛斯(Talos)為思科客戶辯護,以免受已知和新興威脅,發現普通軟件中的新漏洞,並在野外限制威脅,然後他們才能進一步損害整個互聯網。除了發布許多開源研究和分析工具外,Talos還保留了Snort.org,Clamav和Spamcop的官方規則集。 Talos提供了易於使用的Web UI來檢查可觀察的聲譽。 |
| thrantfeeds.io | theakfeeds.io列出了免費和開源威脅智能供稿和來源,並提供直接下載鏈接和實時摘要。 |
| thrantfox.abuse.ch | theatfox是一個免費的平台。 CH.CH,目的是與Infosec社區,AV供應商和威脅情報提供商共享與惡意軟件相關的妥協指標(IOC)。 |
| 技術博客和報告,通過theakconnect | 該來源的內容來自90多個開源,安全博客。 IOC(妥協的指標)都會從每個博客中解析,並且博客的內容在Markdown中格式化。 |
| 威脅干擾器 | 威脅干擾器是一項REST API服務,允許開發人員,安全工程師和其他IT專業人員從各種來源訪問高質量的威脅情報數據,並將其集成到其應用中,唯一目的是檢測和阻止惡意活動。 |
| 威脅者 | 已創建了威脅者,以使分析師免於數據收集,並為他們提供一個可以執行任務的門戶,從閱讀報告到樞紐和數據豐富。威脅者的重點不僅僅是妥協的指標(IOC),還要為分析師提供與他們正在查看的IOC相關的上下文信息。 |
| WSTNPHX惡意軟件電子郵件地址 | Vvestron Phoronix(WSTNPHX)收集的惡意軟件使用的電子郵件地址 |
| UnderAttack.today | UnderAttack是一個免費的情報平台,它共享IPS和有關可疑事件和攻擊的信息。註冊是免費的。 |
| urlhaus | Urlhaus是一個來自abus.ch的項目,目的是共享用於惡意軟件發行的惡意URL。 |
| Virusshare | Virusshare.com是惡意軟件樣本的存儲庫,可為安全研究人員,事件響應者,法醫分析師以及對惡意代碼樣本的病態奇怪的訪問。僅通過邀請授予對網站的訪問。 |
| YARA-RULES | 具有不同Yara簽名的開源存儲庫,這些存儲庫已編譯,分類和盡可能保持最新。 |
| Mrlooquer的第一雙堆棧威脅飼料 | Mrlooquer創建了第一個針對雙堆棧系統的威脅供稿。由於IPv6協議已開始成為惡意軟件和欺詐通信的一部分,因此有必要檢測和減輕這兩個協議中的威脅(IPv4和IPv6)。 |
標準化格式共享威脅情報(主要是IOC)。
| 上司 | 共同的攻擊模式枚舉和分類(CAPEC)是一項全面的詞典和分類分類法,對已知攻擊進行了分類法,分析師,開發人員,測試人員和教育者可以使用,以促進社區的理解和增強防禦能力。 |
| Cybox | 網絡可觀察的表達(Cybox)語言提供了一種共同的結構,可以代表企業網絡安全性的網絡可觀察力,從而提高了部署工具和過程的一致性,效率和互操作性,並通過提高情境意識來提高整體情境意識,從而有可能使自動共享共享,繪製,繪製,檢測,檢測,檢測和分析。 |
| IODEF(RFC5070) | 事件對像說明交換格式(IODEF)定義了一個數據表示,該數據表示提供了一個框架,用於共享有關計算機安全事件響應團隊(CSIRTS)關於計算機安全事件的通常交換的信息。 |
| IDMEF(RFC4765) | 實驗- 入侵檢測消息交換格式(IDMEF)的目的是定義數據格式和交換程序,以共享感興趣的信息,以與入侵檢測和響應系統以及可能需要與之交互的管理系統。 |
| Maec | 惡意軟件屬性枚舉和表徵(MAEC)項目旨在創建和提供標準化語言,用於根據行為,文物和攻擊模式等屬性共享有關惡意軟件的結構化信息。 |
| OPENC2 | OASIS Open Command and Control(OPENC2)技術委員會。 Openc2 TC將基於Openc2論壇生成的工件。在創建TC和規範之前,Openc2論壇是一個由國家安全局(NSA)促進的網絡安全利益相關者社區。 Openc2 TC被租用以起草文件,規格,詞典或其他工件,以以標準化的方式滿足網絡安全命令和控制的需求。 |
| Stix 2.0 | 結構化威脅信息表達(Stix)語言是代表網絡威脅信息的標準化結構。 Stix語言旨在傳達各種潛在的網絡威脅信息,並致力於完全表現力,靈活,可擴展和自動化。 Stix不僅允許使用工具 - 不足的字段,而且還提供了所謂的測試機制,可為嵌入工具特定元素(包括OpenIOC,Yara和Snort)提供手段。 Stix 1.x已在這裡存檔。 |
| 計程車 | 可信賴的指標信息(出租車)標準的自動交換定義了一組服務和消息交換,在實施後,可以在組織和產品/服務邊界範圍內共享可行的網絡威脅信息。出租車定義了概念,協議和消息交換,以將網絡威脅信息交換以進行檢測,預防和緩解網絡威脅。 |
| Veris | 事件記錄和事件共享(VERIS)的詞彙是一組指標,旨在提供一種以結構化且可重複的方式描述安全事件的通用語言。 Veris是對安全行業中最關鍵和最持久的挑戰之一的回應 - 缺乏質量信息。除了提供結構化格式外,Veris還從社區收集數據,以報告Verizon數據洩露調查報告(DBIR)中的違規行為,並在GitHub repository.org中在線發布此數據庫。 |
用於收集,分析,創建和共享威脅情報的框架,平台和服務。
| 濫用者 | Baushelper是接收和重新分配濫用供稿和威脅英特爾的開源框架。 |
| 虐待 | 一個用於接收,處理,關聯並通知最終用戶濫用報告的工具包,從而消耗威脅情報供稿。 |
| AIS | 網絡安全和基礎設施安全局(CISA)自動自動指標共享(AIS)功能使聯邦政府和私營部門以機器速度之間的網絡威脅指標交換。威脅指標是諸如惡意IP地址或網絡釣魚電子郵件的發送者地址之類的信息(儘管它們也可能更複雜)。 |
| 鬍鬚的複仇者 | 消耗威脅情報的最快方法。 CIF的繼任者。 |
| Blueliv威脅交換網絡 | 允許參與者與社區共享威脅指標。 |
| 皮質 | Cortex允許使用單個Web界面允許可觀察到的物體,例如IPS,電子郵件地址,URL,域名,文件或哈希,在批量模式下進行分析。 Web界面是眾多分析儀的前端,從而消除了在分析過程中自己整合它們的需求。分析師還可以使用Cortex REST API來自動化分析的一部分。 |
| 小罪 | Crits是一個平台,為分析師提供對惡意軟件和威脅進行協作研究的手段。它插入集中式智能數據存儲庫中,但也可以用作私人實例。 |
| CIF | 集體智能框架(CIF)允許您合併來自許多來源的已知惡意威脅信息,並將該信息用於IR,檢測和緩解。 Github上可用的代碼。 |
| ctix | CTIX是一個智能的客戶服務威脅智能平台(TIP),用於攝入,豐富,分析和雙向共享您受信任網絡中的威脅數據。 |
| 折衷的平台 | ExclectiCIQ平台是一個基於Stix/Taxii的威脅情報平台(TIP),它使威脅分析師能夠在機器速度傳播智能的同時更快,更好,更好,更深入的調查。 |
| intelmq | Intelmq是用於使用消息隊列協議收集和處理安全供稿,粘貼和推文的證書的解決方案。這是一項由社區驅動的計劃,名為IHAP(事件處理自動化項目),在幾個Infosec活動中概念上設計了歐洲證書。它的主要目標是向事件響應者提供收集和處理威脅情報的簡便方法,從而改善了事件處理過程的處理過程。 |
| intelowl | Intel OWL是OSINT解決方案,可在大規模上獲取有關特定文件,IP或域的威脅智能數據。英特爾OWL由可以運行的分析儀組成,可以從外部來源(例如Virustotal或AbaudipdB)檢索數據,或者從內部分析儀(例如Yara或Oletools)中生成Intel。它可以輕鬆地集成到您的安全工具(Pyintelowl)中,以使通常由SOC分析師手動執行的常見作業自動化。 |
| 卡巴斯基威脅情報門戶 | 一個提供了一個知識庫,描述網絡威脅,合法對象及其關係,將其融合到單個網絡服務中。訂閱Kaspersky Lab的威脅情報門戶網站為您提供了四個補充服務的單點:Kaspersky威脅數據供稿,威脅情報報告,Kaspersky Tragt Wookup和Kaspersky Research Sandbox,所有這些都有可讀和機器可讀的形式。 |
| Malstrom | Malstrom的目標是成為威脅跟踪和法醫文物的存儲庫,但也存儲了Yara規則和註釋進行調查。注意:GitHub項目已被存檔(沒有接受新的貢獻)。 |
| manati | MANATI項目通過採用機器學習技術來自動找到新的關係和推論,從而為威脅分析師提供幫助。 |
| 螳螂 | 基於模型的威脅情報來源(MANTIS)網絡威脅智能管理框架支持以各種標準語言表達的網絡威脅智能的管理,例如Stix和Cybox。不過,它沒有 *準備大規模生產。 |
| 威震天 | 威震天是由CERT-SE實施的工具,該工具可以收集和分析不良IP,可用於計算統計信息,轉換和分析日誌文件以及濫用和事件處理。 |
| 梅爾德 | 可擴展的威脅情報處理框架創建了Palo Alto網絡。它可用於操縱指標列表,並將其轉換和/或匯總為第三方執法基礎架構的消費。 |
| MISP | 惡意軟件信息共享平台(MISP)是用於收集,存儲,分發和共享網絡安全指標和惡意軟件分析的開源軟件解決方案。 |
| N6 | N6(網絡安全事件交換)是一個大規模收集,管理和分發安全信息的系統。通過簡單的REST API和Web界面來實現分發,授權用戶可以使用該界面接收各種類型的數據,特別是有關其網絡中威脅和事件的信息。它由CERT POLSKA開發。 |
| OpenTCTI | OpenTCTI是Open Cyber威脅情報平台,允許組織管理其網絡威脅情報知識和可觀察到的。它的目標是構建,存儲,組織和可視化有關網絡威脅的技術和非技術信息。數據圍繞基於Stix2標準的知識模式構建。 OpenTCTI可以與其他工具和平台集成,包括MISP,TheHive和Miter Att&CK,AO |
| Openioc | OpenIOC是共享威脅情報的開放框架。它旨在以機器可見的格式在內部和外部交換威脅信息。 |
| Opentaxii | Opentaxii是出租車服務的強大python實施,可提供豐富的功能集和友好的Pythonic API,建立在設計精良的應用程序之上。 |
| 奧斯特里卡 | 以開源插件為導向的框架收集和可視化威脅智能信息。 |
| OTX-開放威脅交換 | Alienvault開放威脅交易所(OTX)為全球威脅研究人員和安全專業人員的社區提供了開放訪問。它提供社區生成的威脅數據,啟用協作研究,並自動使用來自任何來源的威脅數據更新您的安全基礎架構的過程。 |
| 開放威脅合作夥伴交流 | 開放威脅合作夥伴交換(OPENTPX)由開源格式和用於交換機器可讀威脅智能和網絡安全操作數據的工具。這是一種基於JSON的格式,允許在連接系統之間共享數據。 |
| 無動物 | Riskiq提供的無動物平台是一個威脅分析平台,為分析師提供盡可能多的數據,以防止攻擊發生之前。提供了幾種類型的解決方案,以及與其他系統的集成(API)。 |
| 脈衝 | Pulsedive是一個免費的社區威脅情報平台,正在消耗開源供稿,豐富IOC並通過計分評分的算法運行它們,以提高數據質量。它允許用戶提交,搜索,關聯和更新IOC;列出了國際奧委會為何風險更高的“風險因素”;並提供了威脅和威脅活動的高水平看法。 |
| 記錄了未來 | 記錄的未來是一種優質的SaaS產品,它將自動將威脅情報從開放,封閉和技術來源統一為單一解決方案。他們的技術使用自然語言處理(NLP)和機器學習實時提供威脅智能,這使記錄的未來成為IT安全團隊的流行選擇。 |
| scumblr | SCUMBLR是一個Web應用程序,它允許在已確定的結果上執行數據源(例如GitHub存儲庫和URL)的定期同步(例如GitHub存儲庫和URL)以及執行分析(例如靜態分析,動態檢查和元數據收集)。 SCUMBLR通過智能自動化框架幫助您簡化主動安全性,以幫助您更快地識別,跟踪和解決安全問題。 |
| staxx(anomali) | Anomali Staxx™為您提供了一種免費,簡便的方法,可以訂閱任何Stix/Taxii Feed。只需下載STAXX客戶端,配置您的數據源,Staxx將處理其餘的。 |
| Stoq | Stoq是一個框架,允許網絡分析師組織和自動化重複的數據驅動任務。它具有供許多其他系統進行交互的插件。一種用例是從文檔中提取IOC,此處顯示的示例,但也可以用於DeoBfuscationg和content和yara自動掃描的內容。 |
| TARDIS | 威脅分析,偵察和數據情報系統(TARDIS)是用於使用攻擊簽名執行歷史搜索的開源框架。 |
| 威脅連接 | 威脅連接是一個具有威脅智能,分析和編排功能的平台。它旨在幫助您收集數據,產生智能,與他人共享並採取行動。 |
| 威脅 | 威脅性是一個用於查找和研究與網絡威脅有關的人工製品的系統。 |
| 威脅圍欄 | 在對手領先兩個步驟。完整地了解他們將如何利用您。 theatpipes是一種偵察工具,它會自動查詢100的數據源,以收集有關IP地址,域名,電子郵件地址,名稱等的智能。 您只需指定要調查的目標,選擇要啟用的模塊,然後威脅便會收集數據以建立對所有實體及其之間如何相互關係的理解。 |
| thrantexchange | Facebook創建了威脅性交換,以便參與的組織可以使用便捷,結構化且易於使用的API共享威脅數據,該API提供隱私控件,以便僅與所需的組共享。該項目仍在Beta中。參考代碼可以在GitHub上找到。 |
| TypedB CTI | TypedB數據-CTI是組織存儲和管理其網絡威脅情報(CTI)知識的開源威脅情報平台。它使威脅英特爾專業人員能夠將其不同的CTI信息匯總到一個數據庫中,並找到有關網絡威脅的新見解。該存儲庫提供了基於Stix2的模式,並包含MITER ATT&CK作為示例數據集,以開始探索此威脅智能平台。此博客文章中的更多內容。 |
| 病毒貝 | VirusBay是一個基於網絡的協作平台,將安全操作中心(SOC)專業人員與相關的惡意軟件研究人員聯繫起來。 |
| thrantnote.io | 新的和改進的theaknote.io- CTI分析師和團隊在一個多合一平台中管理Intel要求,報告和CTI流程的工具 |
| XFE- X -Force Exchange | IBM XFE的X-Force Exchange(XFE)是一種免費的SaaS產品,您可以用來搜索威脅情報信息,收集發現並與XFE社區的其他成員分享您的見解。 |
| 雪人 | 開放,分佈式,機器和分析師友好的威脅情報存儲庫。由事件響應者製造。 |
各種解析,創建和編輯威脅智能的工具。主要基於IOC。
| ActorTrackr | ActorTrackr是用於存儲/搜索/鏈接Actor相關數據的開源Web應用程序。主要來源來自用戶和各種公共存儲庫。源可在GitHub上找到。 |
| 艾恩 | AIENGINE是下一代交互式/可編程Python/Ruby/Java/Lua數據包檢查引擎,具有學習能力,無需任何人為乾預,NID(網絡入侵檢測系統)功能,DNS域分類,網絡收集器,網絡,網絡取證和許多其他。 |
| aiocrioc | 人工智能的眼角色識別指標(Aiocrioc)是一種結合Web刮擦,Tesseract和OpenAI兼容LLM API的OCR功能的工具,例如GPT-4(例如GPT-4),從報告和其他網絡內容中提取IOC,包括嵌入式圖像以及上下文數據。 |
| 分析(Intezer) | 分析是一個多合一的惡意軟件分析平台,能夠對所有類型的文件執行靜態,動態和遺傳代碼分析。用戶可以跟踪惡意軟件系列,提取IOC/MITER TTP,然後下載Yara簽名。有一個社區版可以免費入門。 |
| 汽車 | Automater是URL/域,IP地址和MD5 HASH OSINT工具,旨在使入侵分析師的分析過程更容易。 |
| 藍盒 | BlueBox是OSINT解決方案,可獲取有關特定文件,IP,域或URL的威脅智能數據並分析它們。 |
| botscout | BOTSCOUT有助於防止在論壇,污染數據庫,散佈垃圾郵件和濫用網站上的自動化網絡腳本(稱為“機器人”)。 |
| Bro-Intel-Generator | 用於從PDF或HTML報告生成BRO Intel文件的腳本。 |
| 駕駛室 | 一個簡單的Python庫,用於與出租車服務器進行交互。 |
| 卡卡多 | Cacador是用GO編寫的工具,用於從文本塊中提取妥協的共同指標。 |
| 結合 | 將收集者的威脅情報從公開可用來源結合起來。 |
| 眾籌 | CrowdFMS是通過利用私有API系統來自動收集和處理樣品的框架。該框架自動下載了最近的樣本,該樣本觸發了用戶Yara通知供稿的警報。 |
| 網絡政策 | Cybergordon是威脅情報搜索引擎。它利用30多個來源。 |
| Cybot | Cybot是一個威脅智能聊天機器人。它可以執行自定義模塊提供的幾種類型的查找。 |
| 杜鵑沙盒 | 杜鵑花盒是一種自動動態惡意軟件分析系統。它是周圍最著名的開源惡意軟件分析沙箱,經常由全球研究人員,CERT/SOC團隊和威脅情報團隊部署。對於許多組織,杜鵑花盒提供了對潛在惡意軟件樣本的首次見解。 |
| 芬里爾 | 簡單的Bash IOC掃描儀。 |
| Firehol IP聚合器 | 從具有IP地址外觀歷史記錄的Firehol Blocklist-Ippets保持飼料的申請。為搜索請求開發了基於HTTP的API服務。 |
| 覓食者 | 多線程威脅情報獵人 - 採集腳本。 |
| Gigasheet | Gigasheet是一種用於分析大規模和不同網絡安全數據集的SaaS產品。導入大量日誌文件,NetFlow,PCAPS,大型CSV等。 |
| Goatrider | Goatrider是一個簡單的工具,它將動態拉下砲兵威脅智能供稿,TOR,Alienvaults OTX和Alexa Top 100萬網站,並與主機名文件或IP文件進行比較。 |
| Google APT搜索引擎 | APT組,操作和惡意軟件搜索引擎。該Google自定義搜索的資源在此GitHub Gist上列出。 |
| Gosint | GOSINT框架是一個免費的項目,用於收集,處理和出口高質量的妥協公共指標(IOC)。 |
| hashdd | 來自crytography哈希值查找相關信息的工具 |
| 先驅威脅智力 | Python腳本允許從單個接口查詢多個在線威脅聚合器。 |
| 海馬 | Hippocampe在Elasticsearch集群中從Internet匯集了威脅。它具有REST API,可以搜索其“內存”。它基於一個Python腳本,該腳本獲取與feed,解析和索引相對應的URL。 |
| Hiryu | 一種組織APT活動信息並可視化IOC之間關係的工具。 |
| IOC編輯 | 妥協指標(IOC)的免費編輯器。 |
| IOC Finder | python庫在文本中查找妥協的指標。使用語法而不是言語來提高可理解性。截至2019年2月,它解析了18種指標類型。 |
| IOC Fanger(和Defanger) | python庫庫(`hxxp:// example [。] com` =>`http://commene.com`)和defanging(`http:// example.com` =>'hxxp:// example [。] com` [。] com`)指示文本中的妥協指標。 |
| ioc_parser | 從PDF格式的安全報告中提取折衷指標的工具。 |
| ioc_writer | 提供一個Python庫,允許基本創建和編輯OpenIOC對象。 |
| iocextract | 從文本語料庫中提取URL,IP地址,MD5/SHA哈希,電子郵件地址和YARA規則。在輸出中包括一些編碼和“變形”的IOC,並可選地解碼/換取它們。 |
| iocextractor | IOC(妥協指標)提取器是一個程序,可幫助從文本文件中提取IOC。一般目標是加快從非結構化或半結構化數據中解析結構化數據(IOC)的過程 |
| ibmxforceex.checker.py | IBM X-Force Exchange的Python客戶端。 |
| 賈格 | Jager是一種從各種輸入來源(現在,PDF,最終很快的純文本,最終的網頁)中取出有用的IOC(妥協指標)的工具,並將它們放入易於操縱JSON格式中。 |
| Kaspersky Cybertrace | 威脅智能融合和分析工具將威脅數據與SIEM解決方案集成在一起。用戶可以立即利用威脅智能在其現有安全操作的工作流程中進行安全監控和事件報告(IR)活動。 |
| 克拉拉 | 克拉拉(Klara)是用Python編寫的分佈式系統,允許研究人員掃描一個或多個用樣品收集的Yara規則,在掃描結果準備就緒時通過電子郵件以及Web界面獲取通知。 |
| libtaxii | 用於處理出租車消息的Python圖書館援引出租車服務。 |
| 洛基 | 簡單的IOC和事件響應掃描儀。 |
| 抬頭 | 查找是一個集中式頁面,可獲取有關IP地址的各種威脅信息。它可以輕鬆地集成到SIEM和其他調查工具等工具的上下文菜單中。 |
| Machinae | Machinae是從公共站點/供稿中收集有關各種安全相關數據的工具的工具:IP地址,域名,URL,電子郵件地址,文件哈希和SSL指紋。 |
| Malpipe | Amodular惡意軟件(和指標)收集和處理框架。它旨在從多個提要中提取惡意軟件,域,URL和IP地址,豐富收集的數據並導出結果。 |
| MISP工作台 | 從MISP MySQL數據庫中導出數據並在此平台之外使用和濫用它們的工具。 |
| MISP-TAXII服務器 | 一組配置文件將與Eclecticiq的OpenTaxii實現一起使用,以及將數據發送到Taxii Server收件箱時的回調。 |
| Mstic Jupyter和Python安全工具 | Msticpy是在Jupyter筆記本中進行Infosec調查和狩獵的圖書館。 |
| NYX | 該項目的目的是促進威脅情報工件分配給防禦系統,並增強從開源和商業工具中獲得的價值。 |
| 一百萬 | Python庫確定域名是Alexa還是Cisco Top,100萬個域名。 |
| openioc-to-stix | 從OpenIOC XML生成stix XML。 |
| 綜合 | Omnibus是一種交互式命令行應用程序,用於收集和管理IOC/工件(IPS,域,電子郵件地址,用戶名和比特幣地址),通過來自公共來源的OSINT數據豐富這些文物,並提供以一種簡單的方式存儲和訪問這些文物的手段。 |
| OSTIP | 自製威脅數據平台。 |
| Poortego | 開源項目以處理開源智能的存儲和鏈接(Ala Maltego,但與啤酒中的免費,不與特定 /專有數據庫相關)。最初是在Ruby開發的,但新的代碼庫完全在Python中重寫。 |
| Pyioce | Pyioce是用Python編寫的IOC編輯。 |
| Qradio | Qradio是一種工具/框架,旨在鞏固網絡威脅智能來源。該項目的目的是建立一個可靠的模塊化框架,以從審查來源中提取智能數據。 |
| rastrea2r | 收集和狩獵以富裕和風格的折衷指標(IOC)! |
| 紅線 | 可以用於IOC分析的主機調查工具。 |
| 麗塔 | 真正的智能威脅分析(RITA)旨在幫助搜索不同規模的企業網絡中的折衷指標。 |
| Softrace | 輕型國家軟件參考庫RDS存儲。 |
| Sqhunter | 根據Osquery,Salt Open和Cymon API的威脅獵人。它可以查詢開放網絡插座並與威脅情報源進行檢查 |
| SRA Taxii2服務器 | 完整的Taxii 2.0規格服務器,用MongoDB Backend在節點JS中實現。 |
| stixvalidator.com | stixvalidator.com是在線免費stix和stix2驗證器服務。 |
| stixview | StixView是可嵌入交互式stix2圖的JS庫。 |
| stix-viz | Stix可視化工具。 |
| 出租車測試服務器 | 您可以通過連接到提供的服務並執行出租車規格中編寫的不同功能來測試出租車環境。 |
| thrantaggregator | 威脅性gregrater從許多在線來源匯總了安全威脅,並輸出到包括CEF,Snort和Iptables規則在內的各種格式。 |
| thrantcrowd_api | python圖書館用於威脅性的API。 |
| 威脅 | CLI界面的威脅cro。 |
| 威脅 | 威脅性是一種簡單的網絡威脅情報收集器,使用Elasticsearch,Kibana和Python自動從自定義或公共來源收集智能。自動更新供稿並嘗試進一步增強儀表板的數據。但是,項目似乎不再維護。 |
| 威脅 | 靈活的,配置驅動的,可擴展的框架,用於消耗威脅智能。威脅者可以觀看Twitter,RSS提要和其他來源,提取有意義的信息,例如C2 IP/域和Yara簽名,並將該信息發送到其他系統進行分析。 |
| 威脅查找 | Chrome的擴展程序,可在IPv4,MD5,SHA2和CVE的每個頁面上創建懸停彈出窗口。它可以在威脅調查期間用於查找。 |
| 威脅到人 | 一個Python腳本,旨在監視和生成由一組由Google自定義搜索引擎索引的給定的IOC集的警報。 |
| thrant_intel | 將幾個用於威脅智能的API集成到一個軟件包中。其中包括:Opendns調查,病毒和陰影器。 |
| 威脅智能獵人 | TIH是一種智能工具,可幫助您在多個公開可用的安全供稿和一些眾所周知的API中搜索IOC。該工具背後的想法是促進和存儲經常添加的IOC,以創建您自己的本地指標數據庫。 |
| TIQ檢驗 | 威脅智能商(TIQ)測試工具提供了TI提要的可視化和統計分析。 |
| 雪人 | Yeti是出租車的概念驗證實施,該實施支持了由出租車服務規範定義的收件箱,民意調查和發現服務。 |
有關威脅情報的各種閱讀材料。包括(科學)研究和白皮書。
| APT&CYBER犯罪活動收集 | 廣泛的(歷史)運動集合。條目來自各種來源。 |
| aptnotes | 有關高級持續威脅(APTS)的大量資源。這些報告通常包括戰略和戰術知識或建議。 |
| att&ck | 對抗性策略,技術和常識(ATT&CK™)是描述對手在企業網絡中操作時可能採取的動作的模型和框架。 ATT&CK是後訪問技術的不斷增長的參考,它使人們對網絡入侵期間可能看到的行動有更高的認識。 Miter正在積極地與相關結構集成,例如CAPEC,Stix和MAEC。 |
| 通過鑽石模型建立威脅狩獵策略 | Sergio Caltagirone的Blogpost介紹瞭如何使用Diamond模型製定智能威脅狩獵策略。 |
| 網絡分析存儲庫通過斜切 | 網絡分析存儲庫(CAR)是MITER基於對手策略,技術和常識(ATT&CK™)威脅模型開發的分析知識基礎。 |
| 網絡威脅智能能力成熟度模型(CTI-CMM) | 一種新的網絡威脅智能能力成熟度模型(CTI-CMM),使用利益相關者優先的方法,並與網絡安全能力成熟度模型(C2M2)保持一致,以增強您的團隊並創造持久的價值。 |
| 網絡威脅情報存儲庫通過斜切 | Stix 2.0 JSON表達的ATT&CK和CAPEC目錄的網絡威脅情報存儲庫。 |
| 網絡威脅智能:沒有過程的產品? | 一份研究論文描述了當前的網絡威脅智能產品如何缺乏,以及如何通過引入和評估聲音方法和過程來改善它們。 |
| 最終網絡威脅智能指南 | 描述了網絡威脅智能的要素,並討論了各種各樣的人類和技術消費者如何收集,分析和使用它。進一步研究智能如何在戰術,運營和戰略水平上改善網絡安全,以及它如何幫助您盡快停止攻擊,改善防禦能力,並更有效地談論與典型的虛擬風格的執行管理人員的網絡安全問題。 |
| 檢測到期水平(DML) | DML模型是一種能力到期模型,用於在檢測網絡攻擊時參考成熟度。它是為執行Intel驅動檢測和響應並強調成熟檢測計劃的組織而設計的。組織的成熟度不是通過僅通過獲得相關智能的能力來衡量的,而是有效地應用該智能來檢測和響應功能的能力。 |
| 入侵分析的鑽石模型 | 本文介紹了鑽石模型,這是一種認知框架和分析工具,以支持和改善入侵分析。在入侵分析中支持提高的可測量性,可檢驗性和可重複性,以獲得更高的效率,效率和擊敗對手的準確性,這是其主要貢獻之一。 |
| 定位過程:D3A和F3EAD | F3EAD是將操作和情報結合起來的軍事方法論。 |
| NIST的網絡威脅信息共享指南 | 網絡威脅信息共享指南(NIST特別出版物800-150)協助組織建立計算機安全事件響應能力,通過積極共享威脅情報和持續協調來利用其合作夥伴的集體知識,經驗和能力。該指南為協調事件處理提供了指南,包括生產和消費數據,參與信息共享社區以及保護與事件相關的數據。 |
| 戰場/戰場的情報準備 | 該出版物討論了戰爭空間(IPB)的情報準備,這是軍事決策和計劃過程的關鍵組成部分,以及IPB如何支持決策,以及整合過程和持續活動。 |
| 情報驅動的計算機網絡防禦通過分析對手運動和入侵殺死鏈條的分析告知 | 本文提出的入侵殺戮鍊為入侵分析,指標提取和執行防禦行動提供了一種結構化方法。 |
| ISAO標準組織 | ISAO標準組織是一個非政府組織,該組織於2015年10月1日成立。其任務是通過確定與網絡安全風險,事件和最佳實踐相關的可靠和有效信息共享的標準和指南來改善國家的網絡安全姿勢。 |
| 聯合出版物2-0:聯合情報 | 美國陸軍的這一出版物構成了聯合情報學說的核心,並為將運營,計劃和情報完全整合到一個凝聚力的團隊中奠定了基礎。提出的概念也適用於(網絡)威脅智能。 |
| 微軟研究論文 | 網絡安全信息共享和降低風險的框架。 Microsoft的高級概述論文。 |
| MISP核心格式(草稿) | 本文檔描述了用於交換MISP(惡意軟件信息和威脅共享平台)實例之間的MISP核心格式。 |
| Necoma項目 | Nippon-歐洲網絡防禦為導向的多層威脅分析(NECOMA)研究項目旨在改善威脅數據收集和分析,以開發和演示新的網絡防禦機制。作為項目的一部分,已經發布了一些出版物和軟件項目。 |
| 疼痛的金字塔 | 痛苦金字塔是一種圖形的方式,表達了獲得不同級別的指標的困難,並且在捍衛者獲得時必須花費的資源數量。 |
| 智能分析的結構化分析技術 | 本書包含代表情報,執法,國土安全和業務分析中最新最佳實踐的方法。 |
| 威脅情報:收集,分析,評估 | MWR Infoserity的這份報告清楚地描述了幾種不同類型的威脅智能,包括戰略,戰術和運營變化。它還討論了需求啟發,收集,分析,生產和威脅智能評估的過程。還包括一些快速勝利和針對MWR Infosecurity定義的每種威脅智能類型的成熟模型。 |
| 威脅情報共享平台:軟件供應商和研究觀點的探索性研究 | 一項對22個威脅情報共享平台(TISP)的系統研究,介紹了有關當前威脅情報使用情況,其定義和TISP的8個關鍵發現。 |
| 交通信號燈協議 | 交通燈協議(TLP)是一組名稱,用於確保與正確的受眾共享敏感信息。它採用四種顏色來指示不同程度的靈敏度,以及接受者將應用的相應共享注意事項。 |
| Unit42劇本查看器 | 劇本的目的是組織對手將其用於結構化格式的工具,技術和程序,該格式可以與他人共享並建立。用於構造和共享對手劇本的框架是Miter的ATT&CK Framework和Stix 2.0 |
| 誰在使用網絡威脅智能,如何? | SANS研究所的白皮書描述了威脅情報的用法,包括進行的調查。 |
| 沃克斯特項目 | 該袋鼠項目旨在提供新的手段,以了解針對互聯網經濟和淨公民的現有和新興威脅。為了實現這一目標,該提案包括三個關鍵的工作包:(i)實時收集一組與安全性相關的原始數據,(ii)通過各種分析技術豐富此輸入,以及(iii)根本原因識別和對審查現象的理解。 |
根據Apache許可證2.0許可。
