PKHarsimran/SignalIOC-High-Confidence-Threat-Intelligence-Feeds

# SignalIOC – 用于 SOC 检测的高置信度威胁情报源 ## 概述 **SignalIOC** 是一个专注于检测的威胁情报项目，发布**高置信度、正在被 actively exploited 的 Indicators of Compromise (IOC)**，专为现实世界的 SOC 使用而设计。 不同于聚合大量 OSINT 转储，SignalIOC 优先考虑**信号而非数量**，通过持续提炼最相关和最近被利用的指标，将其转化为**小型、快速且检测就绪的源**。 ## 为什么选择 SignalIOC 大多数公共威胁情报源存在以下一个或多个问题： - IOC 数量过多 - 置信度低或指标过时 - 安全工具间的关联性差 - 高误报率 SignalIOC 通过强制执行以下措施来解决这些问题： - **严格的置信度阈值** - **新鲜度和过期规则** - **对源大小的硬性限制** - **专注于 active exploitation** 最终得到的威胁情报源是**可行动的**、**可解释的**，并且**受分析师信任**。 ## 项目目标 - 为 SOC 检测提供**高信号威胁情报** - 实现**跨平台关联** (WAF, endpoint, email, XDR) - 保持**完全自动化和弹性** - 支持通过 **Splunk Enterprise Security Threat Intelligence Framework** 进行摄取 - 从设计上减少警报疲劳 ## 计划功能 (V1) - 精选的 IOC 类型： - IP 地址 - 域名 - URL - SHA256 文件哈希 - 置信度评分和严重性映射 - 滚动新鲜度窗口和自动过期 - 硬性限制源大小以防止膨胀 - 托管在 GitHub，可通过 HTTPS 访问的源 - 专为 ES UI 摄取设计（无需后端访问）

标签：IOC, IP黑名单, SHA256, WAF, 企业安全, 信号处理, 域名情报, 威胁情报, 安全运营, 开发者工具, 异常检测, 恶意软件, 情报共享, 情报源, 扫描框架, 端点安全, 网络安全, 网络资产管理, 补丁管理, 误报率, 邮件安全, 隐私保护, 高置信度