CraftedSignal/threat-feed

# CraftedSignal 威胁情报源 CraftedSignal 平台的商用威胁情报源。将趋势和新出现的威胁转化为即用型检测规则，包含测试、MITRE ATT&CK 映射和 IOC。 ## 结构 ``` briefs/ YAML threat brief source files cmd/feedgen/ Compiler that builds encrypted feed bundles internal/ Compiler internals (loader, encryption, types) output/ Compiled bundle output ``` ## 简报格式 `briefs/` 中的每个 YAML 文件都是一个独立的威胁简报： - **元数据**：标题、摘要、严重程度、威胁行为者、标签、参考链接 - **内容**：详细的威胁描述（Markdown） - **规则**：带有平台特定查询语句（SPL、KQL、FalconQL）的检测规则 - **测试**：每条规则的正向和负向测试用例 - **TTPs**：MITRE ATT&CK 战术/技术映射 - **IOCs**：失陷指标（IP、域名、哈希值） ## 构建 将简报编译为加密包： ``` go run ./cmd/feedgen -public-key -briefs ./briefs -out ./output/bundle.json ``` 选项： | 标志 | 描述 | |------|-------------| | `-public-key` | Ed25519 公钥（64 个十六进制字符）。也可读取 `PUBLIC_KEY` 环境变量。 | | `-briefs` | 包含 YAML 简报文件的目录。默认值：`briefs` | | `-out` | 加密包的输出路径。默认值：`output/bundle.json` | | `-version` | 包版本。默认为 `YYYY.MM.DD.` | | `-max-age-days` | 排除超过 N 天的简报。默认值：约 5 年 | ## 添加简报 1. 在 `briefs/` 中按照命名规范创建新的 YAML 文件：`YYYY-MM-DD-.yaml` 2. 填写元数据、内容、规则（含测试）、TTPs 和 IOCs 3. 运行 `feedgen` 进行编译和验证 4. 平台会自动获取更新的包

标签：Cloudflare, Ed25519, EVTX分析, FalconQL, Go, Homebrew安装, IOC, KQL, MITRE ATT&CK, Ruby工具, SPL, YAML, 加密, 失陷指标, 威胁情报, 威胁源, 威胁猎杀, 威胁简报, 安全库, 安全运营, 开发者工具, 情报源, 扫描框架, 日志审计, 检测规则, 漏洞扫描器, 网络资产发现, 自动化编译