hslatman/awesome-threat-intelligence
GitHub: hslatman/awesome-threat-intelligence
一个精心整理的优质网络安全威胁情报(CTI)资源、工具、平台及标准的索引列表。
Stars: 10121 | Forks: 1741
# awesome-threat-intelligence
一个精心整理的优质威胁情报资源列表。
威胁情报的简明定义:*基于证据的知识,包括背景、机制、指标、影响和可操作的建议,涉及对资产存在的或新兴的威胁或危害,可用于为该主体应对此类威胁或危害的决策提供信息*。
欢迎随时[贡献](CONTRIBUTING.md)。
- [来源](#sources)
- [格式](#formats)
- [框架与平台](#frameworks-and-platforms)
- [工具](#tools)
- [研究、标准与书籍](#research)
## 来源
下面列出的大多数资源都提供了列表和/或 API,用于获取(希望是)关于威胁的最新信息。
有些人将这些来源视为威胁情报,但意见不一。
要创建真正的威胁情报,一定量的(特定领域或特定业务的)分析是必不可少的。
## 格式
用于共享威胁情报(主要是 IOC)的标准化格式。
## 框架与平台
用于收集、分析、创建和共享威胁情报的框架、平台和服务。
## 工具
用于解析、创建和编辑威胁情报的各种工具。主要基于 IOC。
## 研究、标准与书籍
关于威胁情报的各种阅读材料。包括(科学)研究和白皮书。
## 许可证
根据 [Apache 许可证 2.0 版](LICENSE) 授权。
| AbuseIPDB | AbuseIPDB 是一个致力于帮助打击互联网上黑客、垃圾邮件发送者和滥用行为扩散的项目。其使命是通过为网站管理员、系统管理员和其他相关方提供一个中央黑名单,以便报告和查找与在线恶意活动相关的 IP 地址,从而帮助使 Web 更安全。 |
| APT Groups and Operations | 包含关于 APT 组织、行动和战术的信息与情报的电子表格。 |
| Binary Defense IP Banlist | Binary Defense Systems 的 Artillery 威胁情报源和 IP 封禁列表源。 |
| BGP Ranking | 包含最多恶意内容的 ASN 排名。 |
| Botnet Tracker | 追踪几个活跃的僵尸网络。 |
| BOTVRIJ.EU | Botvrij.eu 提供不同的开源 IOC 集合,您可以在安全设备中使用它们来检测可能的恶意活动。 |
| BruteForceBlocker | BruteForceBlocker 是一个 perl 脚本,用于监控服务器的 sshd 日志并识别暴力破解攻击,然后利用它自动配置防火墙阻止规则,并将这些 IP 提交回项目站点 http://danger.rulez.sk/projects/bruteforceblocker/blist.php。 |
| C&C Tracker | 由 Bambenek Consulting 提供的已知、活跃且非_sinkholed_(陷阱接管)的 C&C IP 地址源。商业使用需要许可证。 |
| CertStream | 实时证书透明度日志更新流。实时查看已签发的 SSL 证书。 |
| CCSS Forum Malware Certificates | 以下是由论坛报告给各个证书颁发机构,可能被关联到恶意软件的数字证书列表。此信息旨在帮助防止公司使用数字证书为恶意软件增加合法性,并促进对此类证书的及时吊销。 |
| CI Army List | 商业版 CINS Score 列表的一个子集,主要关注当前未出现在其他威胁列表中评级较差的 IP。 |
| Cisco Umbrella | Cisco Umbrella(原 OpenDNS)解析的前 100 万个站点的可能白名单。 |
| Cloudmersive Virus Scan | Cloudmersive Virus Scan API 可扫描文件、URL 和云存储以查找病毒。它们利用针对数百万威胁持续更新的签名以及先进的高性能扫描功能。该服务是免费的,但需要您注册一个账户以获取您的个人 API 密钥。 |
| CrowdSec Console | 最大的众包 CTI,近乎实时更新,这得益于 CrowdSec——一款下一代、开源、免费且协作的 IDS/IPS 软件。CrowdSec 能够分析访问者行为并对各类攻击提供适应性响应。用户可以与社区分享他们的威胁警报并从网络效应中受益。这些 IP 地址是从真实攻击中收集的,并非仅来源于蜜罐网络。 |
| Cyber Cure free intelligence feeds | Cyber Cure 提供免费的网络安全威胁情报源,包含当前在互联网上受到感染并进行攻击的 IP 地址列表。还有恶意软件使用的 URL 列表以及当前正在传播的已知恶意软件的哈希文件列表。CyberCure 使用传感器收集情报,具有极低的误报率。还提供了详细的 文档。 |
| Cyware Threat Intelligence Feeds | Cyware 的威胁情报源为您带来了来自广泛开放和可信来源的宝贵威胁数据,以提供有价值和可操作的威胁情报的综合流。我们的威胁情报源完全兼容 STIX 1.x 和 2.0,为您提供全球范围内实时发现的恶意恶意软件哈希、IP 和域名的最新信息。 |
| DataPlane.org | DataPlane.org 是一个由社区驱动的互联网数据、源和测量资源,由运营商创建并为运营商服务。我们免费提供可靠且值得信赖的服务。 |
| Focsec.com | Focsec.com 提供用于检测 VPN、代理、机器人和 TOR 请求的 API。始终保持最新的数据有助于检测可疑登录、欺诈和滥用行为。可以在 文档 中找到代码示例。 |
| DigitalSide Threat-Intel | 包含开源网络安全威胁情报指标集合,主要基于恶意软件分析以及被入侵的 URL、IP 和域名。该项目的目的是开发和测试狩猎、分析、收集和共享相关 IoC 的新方法,以便 SOC/CSIRT/CERT/个人以最小的努力使用。报告通过三种方式共享:STIX2、CSV 和 MISP Feed。报告也会发布在 项目的 Git 仓库中。 |
| Disposable Email Domains | 一个匿名或一次性电子邮件域名的集合,通常用于对服务进行垃圾邮件/滥用攻击。 |
| DNS Trails | 免费的情报来源,用于获取当前和历史的 DNS 信息、WHOIS 信息,查找与某些 IP 关联的其他网站、子域名知识和技术。还提供了一个 IP 和域名情报 API。 |
| ELLIO: IP Feed (community free version) | 已知恶意 IP 地址的威胁列表,预计在不久的将来会对您的网络构成潜在威胁,此外还包括已知的良性扫描器和意图不明的行动者 IP 地址。针对个人、非商业用途会提供延迟 24 小时的数据,但与其他开放的 IP 威胁列表/源相比,它仍能提供出色的保护。 |
| Emerging Threats Firewall Rules | 适用于多种防火墙(包括 iptables、PF 和 PIX)的规则集合。 |
| Emerging Threats IDS Rules | 一系列 Snort 和 Suricata 规则文件集合,可用于告警或阻止。 |
| ExoneraTor | ExoneraTor 服务维护着一个曾是 Tor 网络一部分的 IP 地址数据库。它回答了在给定日期的给定 IP 地址上是否有 Tor 中继在运行的问题。 |
| Exploitalert | 最新发布的漏洞利用程序列表。 |
| FastIntercept | Intercept Security 从其全球蜜罐网络中托管了许多免费的 IP 信誉列表。 |
| ZeuS Tracker | Feodo Tracker abuse.ch 追踪 Feodo 木马。 |
| FireHOL IP Lists | 分析了 400 多个公开可用的 IP 源,以记录它们的演变、地理位置映射、IP 年龄、保留策略和重叠情况。该站点主要关注网络犯罪(攻击、滥用、恶意软件)。 |
| FraudGuard | FraudGuard 是一项旨在提供简单方法来验证使用情况的服务,通过持续收集和分析实时的互联网流量来实现。 |
| GreyNoise | GreyNoise 收集并分析互联网范围扫描活动的数据。它收集关于良性扫描器(如 Shodan.io)以及恶意行为者(如 SSH 和 telnet 蠕虫)的数据。 |
| GriffinGuard | GriffinGuard 是一个网络安全平台,通过持续分析全球互联网流量和漏洞利用模式来提供实时威胁情报。它提供免费的数据搜索以及一些免费的 IP 黑名单。 |
| HoneyDB | HoneyDB 提供蜜罐活动的实时数据。这些数据来自使用 HoneyPy 蜜罐在互联网上部署的蜜罐。此外,HoneyDB 提供对收集到的蜜罐活动的 API 访问,其中也包括来自各种蜜罐 Twitter 源的聚合数据。 |
| Icewater | 由 Icewater 项目创建的 12,805 条免费 Yara 规则。 |
| Infosec - CERT-PA | 恶意软件样本 收集与分析、黑名单服务、漏洞数据库 以及更多内容。由 CERT-PA 创建并管理。 |
| InQuest Labs | 一个为安全研究人员提供的开放、交互式且 API 驱动的数据门户。搜索大量文件样本,聚合信誉信息以及从公共来源提取的 IOC。通过工具增强 YARA 开发,用于生成触发器、处理混合大小写十六进制以及生成 base64 兼容的正则表达式。 |
| I-Blocklist | I-Blocklist 维护多种类型的列表,其中包含属于各种类别的 IP 地址。其中一些主要类别包括国家、ISP 和组织。其他列表包括 Web 攻击、TOR、间谍软件和代理。许多列表可免费使用,并支持多种格式。 |
| IPsum | IPsum 是一个基于 30 多个不同的公开可用可疑和/或恶意 IP 地址列表的威胁情报源。所有列表每天(24小时)自动检索和解析,最终结果被推送到此仓库。列表由 IP 地址及其(黑)列表出现总次数(针对每个地址)组成。由 Miroslav Stampar 创建并管理。 |
| James Brine Threat Intelligence Feeds | JamesBrine 提供来自云端和私有基础设施上国际部署的蜜罐的恶意 IP 地址每日威胁情报源,涵盖多种协议,包括 SSH、FTP、RDP、GIT、SNMP 和 REDIS。前一天的 IOC 可通过 STIX2 格式获取,以及额外的 IOC,如可疑 URI 和极有可能用于钓鱼攻击的新注册域名。 |
| Kaspersky Threat Data Feeds | 持续更新,并告知您的企业或客户与网络威胁相关的风险和影响。实时数据可帮助您更有效地缓解威胁,甚至在攻击发起之前进行防御。与商业版相比,演示数据源包含截断的 IOC 集合(最高达 1%)。 |
| Majestic Million | 由 Majestic 排名的前 100 万个网站的可能白名单。站点按引用子网的数量排序。有关排名的更多信息可在其 博客上找到。 |
| Maldatabase | Maldatabase 旨在辅助恶意软件数据科学和威胁情报源。提供的数据包含了良好的信息,涉及联系过的域名、执行的进程列表以及每个样本释放的文件等字段。这些源使您能够改善您的监控和安全工具。安全研究人员和学生可免费使用该服务。 |
| Malpedia | Malpedia 的主要目标是在调查恶意软件时提供快速识别和可操作背景信息的资源。开放接受精心筛选的贡献将确保可靠的质量水平,以促进有意义且可重复的研究。 |
| MalShare.com | MalShare 项目是一个公开的恶意软件存储库,为研究人员提供免费的样本访问。 |
| Maltiverse | Maltiverse 项目是一个庞大且丰富的 IoC 数据库,可以在其中进行复杂的查询和聚合,以调查恶意软件活动及其基础设施。它还提供出色的 IoC 批量查询服务。 |
| MalwareBazaar | MalwareBazaar 是来自 abuse.ch 的一个项目,旨在与信息安全社区、AV 厂商和威胁情报提供商共享恶意软件样本。 |
| Malware Domain List | 可搜索的恶意域名列表,还执行反向查找并列出注册人,重点关注钓鱼、木马和漏洞利用工具包。 |
| Malware Patrol | Malware Patrol 为各种规模的公司提供阻止列表、数据源和威胁情报。因为我们的专长是网络威胁情报,我们所有的资源都用于确保其具有尽可能高的质量。我们相信安全团队及其工具的好坏取决于所使用的数据。这意味着我们的源中没有充斥着抓取的、未经验证的指标。我们重质不重量。 |
| Malware-Traffic-Analysis.net | 此博客重点关注与恶意软件感染相关的网络流量。包含流量分析练习、教程、恶意软件样本、恶意网络流量的 pcap 文件以及带有观察结果的技术博文。 |
| MalwareDomains.com | DNS-BH 项目创建并维护一个已知用于传播恶意软件和间谍软件的域名列表。它们可用于检测以及预防(接管 DNS 请求)。 |
| MetaDefender Cloud | MetaDefender Cloud 威胁情报源包含最新的恶意软件哈希签名,包括 MD5、SHA1 和 SHA256。这些新的恶意哈希已在过去 24 小时内被 MetaDefender Cloud 发现。该源每天都会更新新检测和报告的恶意软件,以提供可操作且及时的威胁情报。 |
| NoThink! | 来自 Matteo Cantoni 蜜罐的 SNMP、SSH、Telnet 黑名单 IP |
| NormShield Services | NormShield Services 提供数千条域名信息(包括 whois 信息),潜在的钓鱼攻击可能来源于此。还提供违规和黑名单服务。有针对公共服务的免费注册以进行持续监控。 |
| NovaSense Threats | NovaSense 是 Snapt 的威胁情报中心,为先发制人的威胁防护和攻击缓解提供洞察力和工具。NovaSense 保护各种规模的客户免受攻击者、滥用、僵尸网络、DoS 攻击等。 |
| Obstracts | 专为网络安全团队打造的 RSS 阅读器。将任何博客转化为结构化且可操作的威胁情报。 |
| OpenPhish Feeds | OpenPhish 从多个流中接收 URL,并使用其专有的钓鱼检测算法对其进行分析。提供免费和商业版本。 |
| 0xSI_f33d | 用于检测葡萄牙网络空间中可能的钓鱼和恶意域名以及黑名单 IP 的免费服务。 |
| PhishTank | PhishTank 提供可疑钓鱼 URL 列表。其数据来自人工报告,但也会在可能的情况下摄取外部源。这是一项免费服务,但有时需要注册获取 密钥。 |
| PickupSTIX | PickupSTIX 是免费、开源且非商业化的网络威胁情报源。目前,PickupSTIX 使用三个公开源并每天分发大约 100 条新情报。PickupSTIX 将各种源转换为 STIX,可与任何 TAXII 服务器通信。数据免费使用,是开始使用网络威胁情报的绝佳方式。 |
| Q-Feeds Threat Intelligence | Q-Feeds 是一家网络安全公司,汇集了来自 OSINT、专有研究和商业威胁情报源的数据,以提供全面且高度可操作的解决方案。其威胁情报门户 (TIP) 使组织能够轻松实时访问和管理这些数据。通过与防火墙、SIEM 和其他安全平台集成,Q-Feeds 可帮助企业主动阻止连接到已知恶意 IP、域名和 URL——在威胁造成危害之前。他们还提供可根据要求获取的社区版本。 |
| REScure Threat Intel Feed | [RES]cure 是由 Fruxlabs Crack 团队执行的一个独立威胁情报项目,旨在加深他们对分布式系统底层架构、威胁情报本质以及如何高效收集、存储、消费和分发威胁情报的理解。源每 6 小时生成一次。 |
| RST Cloud Threat Intel Feed | 从多个开源和社区支持的来源收集并交叉验证的聚合失陷指标,通过我们的情报平台进行丰富和排名。 |
| Rutgers Blacklisted IPs | SSH 暴力破解攻击者的 IP 列表,由本地观察到的 IP 与在 badip.com 和 blocklist.de 注册的 2 小时前的 IP 合并创建 |
| SANS ICS Suspicious Domains |
SANS ICS 的可疑域名威胁列表跟踪可疑域名。它提供 3 个列表,分类为 高、中 或 低 敏感度,其中高敏感度列表的误报较少,而低敏感度列表的误报较多。还有一个建议的域名 批准白名单。 最后,还有来自 DShield 的建议 IP 黑名单。 |
| SecurityScorecard IoCs | 来自 SecurityScorecard 技术博客文章和报告的公开访问 IoCs。 |
| Stixify | 您的自动化威胁情报分析师。从非结构化数据中提取机器可读情报。 |
| signature-base | Neo23x0 在其他工具中使用的签名数据库。 |
| The Spamhaus project | Spamhaus 项目包含多个与垃圾邮件和恶意软件活动相关的威胁列表。 |
| SophosLabs Intelix | SophosLabs Intelix 是驱动 Sophos 产品及合作伙伴的威胁情报平台。您可以访问基于文件哈希、URL 等的情报,以及提交样本进行分析。通过 REST API,您可以轻松快速地将此威胁情报添加到您的系统中。 |
| Spur | Spur 提供检测 VPN、住宅代理和机器人的工具及数据。免费计划允许用户查询 IP 并获取其分类、VPN 提供商、IP 背后的热门地理位置以及更多有用的背景信息。 |
| SSL Blacklist | SSL 黑名单 (SSLBL) 是由 abuse.ch 维护的一个项目。目标是提供一份被 abuse.ch 确认与恶意软件或僵尸网络活动相关联的“恶意”SSL 证书列表。SSLBL 依赖于恶意 SSL 证书的 SHA1 指纹并提供各种黑名单。 |
| Statvoo Top 1 Million Sites | 由 Statvoo 排名的前 100 万个网站的可能白名单。 |
| Strongarm, by Percipient Networks | Strongarm 是一个 DNS 黑洞,通过阻止恶意软件命令和控制来对失陷指标采取行动。Strongarm 聚合免费的指标源,集成商业源,利用 Percipient 的 IOC 源,并运营 DNS 解析器和 API 供您用于保护您的网络和业务。Strongarm 供个人免费使用。 |
| SIEM Rules | 您的检测工程数据库。查看、修改和部署用于威胁狩猎和检测的 SIEM 规则。 |
| Talos | Cisco Talos 情报小组是世界上最大的商业威胁情报团队之一,由世界级的研究人员、分析师和工程师组成。这些团队得到了无与伦比的遥测技术和复杂系统的支持,为 Cisco 客户、产品和服务创建准确、快速和可操作的威胁情报。Talos 保护 Cisco 客户免受已知和新兴威胁,发现常用软件中的新漏洞,并在威胁进一步危害整个互联网之前在野外进行拦截。除了发布许多开源研究与分析工具外,Talos 还维护 Snort.org、ClamAV 和 SpamCop 的官方规则集。Talos 提供了一个易于使用的 Web 界面来检查 可观察对象的信誉。 |
| threatfeeds.io | threatfeeds.io 列出了免费和开源的威胁情报源和来源,并提供直接下载链接和实时摘要。 |
| threatfox.abuse.ch | ThreatFox 是来自 abuse.ch 的免费平台,旨在与信息安全社区、AV 厂商和威胁情报提供商共享与恶意软件相关的失陷指标 (IOC)。 |
| Technical Blogs and Reports, by ThreatConnect | 此来源的内容来自 90 多个开源安全博客。IOC(失陷指标)从每篇博客中解析出来,并且博客的内容被格式化为 Markdown。 |
| Threat Jammer | Threat Jammer 是一项 REST API 服务,允许开发人员、安全工程师和其他 IT 专业人员从各种来源访问高质量的威胁情报数据,并将其集成到他们的应用程序中,其唯一目的是检测和阻止恶意活动。 |
| ThreatMiner | 创建 ThreatMiner 是为了让分析师从数据收集工作中解放出来,并为他们提供一个可以执行任务的门户,从阅读报告到数据透视和丰富。 ThreatMiner 的重点不仅在于失陷指标,还在于为分析师提供与其所查看的 IoC 相关的背景信息。 |
| WSTNPHX Malware Email Addresses | 由 VVestron Phoronix (WSTNPHX) 收集的被恶意软件使用的电子邮件地址 |
| UnderAttack.today | UnderAttack 是一个免费的情报平台,它分享 IP 及有关可疑事件和攻击的信息。注册免费。 |
| URLhaus | URLhaus 是来自 abuse.ch 的一个项目,旨在共享用于恶意软件分发的恶意 URL。 |
| VirusShare | VirusShare.com 是一个恶意软件样本存储库,旨在为安全研究人员、事件响应人员、取证分析师和有强烈好奇心的人提供恶意代码样本的访问权限。仅接受邀请才能访问该站点。 |
| VulDB CTI | VulDB 是一个漏洞数据库,它将行动者活动和攻击细节与漏洞相关联。这种预测性方法有助于通过恶意行动者确定新兴的研究和攻击活动。 |
| Yara-Rules | 一个包含不同 Yara 签名的开源存储库,这些签名经过编译、分类并尽可能保持最新。 |
| 1st Dual Stack Threat Feed by MrLooquer | Mrlooquer 创建了第一个专注于双栈系统的威胁源。由于 IPv6 协议已经开始成为恶意软件和欺诈通信,因此有必要在两种协议(IPv4 和 IPv6)中检测和缓解威胁。 |
| Validin DNS Database | 免费的情报来源,用于获取当前和历史的 DNS 信息,查找与某些 IP 关联的其他网站以及子域名知识。还提供了一个 免费的 IP 和域名情报 API。 |
| CAPEC | 常见攻击模式枚举和分类 (CAPEC) 是一本全面的字典和已知攻击的分类法,可供分析师、开发人员、测试人员和教育工作者使用,以促进社区理解并加强防御。 |
| CybOX | 网络可观察表达式 语言提供了一种通用结构,用于在企业网络安全的各个操作领域之间表示网络可观察对象,从而提高了已部署工具和流程的一致性、效率和互操作性,并通过实现详细的自动化共享、映射、检测和分析启发式方法,增加了整体态势感知能力。 |
| IODEF (RFC5070) | 事件对象描述交换格式 定义了一种数据表示形式,它提供了一个框架,用于共享计算机安全事件响应团队 之间关于计算机安全事件常见交换的信息。 |
| IDMEF (RFC4765) | 实验性 - 入侵检测消息交换格式 (IDMEF) 的目的是定义数据格式和交换程序,用于共享入侵检测和响应系统以及可能需要与它们交互的管理系统感兴趣的信息。 |
| MAEC | 恶意软件属性枚举和_characterization_ (MAEC) 项目旨在创建并提供一种标准化语言,用于基于行为、_artifacts_ 和攻击模式等属性共享关于恶意软件的结构化信息。 |
| OpenC2 | OASIS 开放命令与控制 技术委员会。OpenC2 TC 将基于 OpenC2 论坛生成的工件开展工作。在此 TC 和规范创建之前,OpenC2 论坛是由国家安全局 (NSA) 推动的一个网络安全利益相关者社区。OpenC2 TC 被授权起草文档、规范、词汇表或其他工件,以标准化方式满足网络安全命令与控制的需求。 |
| STIX 2.0 | 结构化威胁信息表达式 (STIX) 语言是表示网络威胁信息的标准化结构。STIX 语言旨在传达全方位的潜在网络威胁信息,并努力做到完全表达、灵活、可扩展和自动化。STIX 不仅允许与工具无关的字段,还提供了所谓的 测试机制,为嵌入特定工具的元素提供了手段,包括 OpenIOC、Yara 和 Snort。STIX 1.x 已归档于 此处。 |
| TAXII | 可信自动化指标信息交换 (TAXII) 标准定义了一组服务和消息交换,当实施时,能够跨组织和产品/服务边界共享可操作的网络威胁信息。TAXII 定义了用于交换网络威胁信息的概念、协议和消息交换,以检测、预防和缓解网络威胁。 |
| VERIS | 事件记录和事件共享词汇表 (VERIS) 是一套旨在提供一种通用语言,以结构化和可重复的方式描述安全事件的指标。VERIS 是针对安全行业中最关键和最持久的挑战之一——缺乏高质量信息——的一项应对措施。除了提供结构化格式外,VERIS 还从社区收集数据,以便在 Verizon 数据泄露调查报告 (DBIR) 中报告泄露事件,并在 GitHub repository.org 上在线发布此数据库。 |
| AbuseHelper | AbuseHelper 是一个用于接收和重新分发滥用报告源和威胁情报的开源框架。 |
| AbuseIO | 一个用于接收、处理、关联并通知最终用户有关滥用报告的工具包,从而消费威胁情报源。 |
| AIS | 网络安全和基础设施安全局 (CISA) 免费的自动指标共享 (AIS) 功能支持联邦政府与私营部门之间以机器速度交换网络威胁指标。威胁指标是一些信息片段,例如恶意 IP 地址或钓鱼电子邮件的发件人地址(尽管它们也可能更复杂)。 |
| Bearded Avenger | 消费威胁情报的最快方式。CIF 的继任者。 |
| Blueliv Threat Exchange Network | 允许参与者与社区共享威胁指标。 |
| Cortex | Cortex 允许对可观察对象(如 IP、电子邮件地址、URL、域名、文件或哈希)逐一或以批量模式使用单一 Web 界面进行分析。该 Web 界面充当众多分析器的前端,免除了您在分析期间自行集成这些分析器的需要。分析师还可以使用 Cortex REST API 来自动化部分分析工作。 |
| CRITS | CRITS 是一个为分析师提供手段来对恶意软件和威胁进行协作研究的平台。它插入到集中式情报数据存储库中,但也可以用作私有实例。 |
| CIF | 集体情报框架 (CIF) 允许您合并来自多个来源的已知恶意威胁信息,并将该信息用于事件响应 (IR)、检测和缓解。代码可在 GitHub 上获取。 |
| CTIX | CTIX 是一个智能的、客户端-服务器威胁情报平台 (TIP),用于在您的受信任网络内获取、丰富、分析和双向共享威胁数据。 |
| EclecticIQ Platform | EclecticIQ 平台是一个基于 STIX/TAXII 的威胁情报平台 (TIP),使威胁分析师能够进行更快、更好、更深入的调查,同时以机器速度传播情报。 |
| IntelMQ | IntelMQ 是供 CERT 使用的解决方案,用于使用消息队列协议收集和处理安全源、粘贴板、推文。这是一个由社区推动的倡议,称为 IHAP(事件处理自动化项目),由欧洲 CERT 在几次信息安全活动中进行了概念设计。其主要目标是为事件响应人员提供一种简便的方法来收集和处理威胁情报,从而改进 CERT 的事件处理流程。 |
| IntelOwl | Intel Owl 是一种 OSINT 解决方案,可通过单一 API 大规模获取特定文件、IP 或域名的威胁情报数据。Intel Owl 由分析器组成,可以运行这些分析器从外部来源(如 VirusTotal 或 AbuseIPDB)检索数据,或从内部分析器(如 Yara 或 Oletools)生成情报。它可以轻松集成到您的安全工具栈 (pyintelowl) 中,以自动化通常是 SOC 分析师手动执行的常见工作。 |
| Kaspersky Threat Intelligence Portal | 提供描述网络威胁、合法对象及其关系的知识库,并将其整合到一个 Web 服务中的网站。订阅卡巴斯基实验室的威胁情报门户将为您提供进入四个互补服务的单一入口:卡巴斯基威胁数据源、威胁情报报告、卡巴斯基威胁查询和卡巴斯基研究沙箱,均提供人类可读和机器可读的格式。 |
| Malstrom | Malstrom 旨在成为一个用于威胁跟踪和取证_artifacts_的存储库,同时存储用于调查的 YARA 规则和笔记。注意:Github 项目已归档(不再接受新贡献)。 |
| ManaTI | ManaTI 项目通过采用机器学习技术来自动发现新的关系和推论,从而协助威胁分析师。 |
| MANTIS | 基于模型的威胁情报来源分析 (MANTIS) 网络威胁情报管理框架支持管理以各种标准语言(如 STIX 和 CybOX)表达的网络威胁情报。不过,它*未*准备好用于大规模生产。 |
| Megatron | Megatron 是由 CERT-SE 实施的一款工具,用于收集和分析恶意 IP,可用于计算统计数据、转换和分析日志文件,以及处理滥用和事件。 |
| MineMeld | 由 Palo Alto Networks 创建的可扩展威胁情报处理框架。 它可用于操作指标列表,并对其进行转换和/或聚合,以供第三方执行基础设施使用。 |
| MISP | 恶意软件信息共享平台 (MISP) 是一个开源软件解决方案,用于收集、存储、分发和共享网络安全指标和恶意软件分析。 |
| n6 | n6(网络安全事件交换)是一个用于大规模收集、管理和分发安全信息的系统。分发通过简单的 REST API 和 Web 界面实现,授权用户可以使用该界面接收各种类型的数据,特别是有关其网络中威胁和事件的信息。它由 CERT Polska 开发。 |
| Open Cybersecurity Schema Framework (OCSF) | 开放网络安全模式框架 是一个开源项目,提供了一个用于开发模式的可扩展框架,以及一个与供应商无关的核心安全模式。供应商和其他数据生产者可以采用并扩展该模式以适应其特定领域。数据工程师可以映射不同的模式,以帮助安全团队简化数据摄取和规范化,以便数据科学家和分析师可以使用通用语言进行威胁检测和调查。目标是提供在任何环境、应用程序或解决方案中采用的开放标准,同时补充现有的安全标准和流程。 |
| OpenCTI | OpenCTI,即开放网络威胁情报平台,允许组织管理其网络威胁情报知识和可观察对象。其目标是结构化、存储、组织和可视化关于网络威胁的技术和非技术信息。数据围绕基于 STIX2 标准的知识模式进行结构化。OpenCTI 可与其他工具和平台集成,包括 MISP、TheHive 和 MITRE ATT&CK 等。 |
| OpenIOC | OpenIOC 是一个用于共享威胁情报的开放框架。它旨在以机器可消化的格式在内部和外部交换威胁信息。 |
| OpenTAXII | OpenTAXII 是 TAXII 服务的稳健 Python 实现,提供了丰富的功能集和构建在设计良好的应用程序之上的友好 Pythonic API。 |
| OSTrICa | 一个面向插件的开源框架,用于收集和可视化威胁情报信息。 |
| OTX - Open Threat Exchange | AlienVault 开放威胁交换 (OTX) 为全球威胁研究人员和安全专业人员社区提供了开放访问权限。它提供社区生成的威胁数据,支持协作研究,并自动化使用来自任何来源的威胁数据更新您的安全基础设施的过程。 |
| Open Threat Partner eXchange | 开放威胁伙伴交换 由一种开源格式和工具组成,用于交换机器可读的威胁情报和网络安全运营数据。它是一种基于 JSON 的格式,允许在连接的系统之间共享数据。 |
| PassiveTotal | 由 RiskIQ 提供的 PassiveTotal 平台是一个威胁分析平台,为分析师提供尽可能多的数据,以便在攻击发生之前加以防范。提供了多种类型的解决方案,以及与其他系统的集成。 |
| Pulsedive | Pulsedive 是一个免费的社区威胁情报平台,它通过消费开源源、丰富 IOC 并使其通过风险评分算法来提高数据质量。它允许用户提交、搜索、关联和更新 IOC;列出 IOC 具有较高风险的“风险因素”;并提供威胁和威胁活动的高级视图。 |
| Recorded Future | Recorded Future 是一款高级 SaaS 产品,可将来自开放、封闭和技术来源的威胁情报自动统一到一个解决方案中。其技术使用自然语言处理 (NLP) 和机器学习来实时交付这些威胁情报,这使其成为 IT 安全团队的热门选择。 |
| Scumblr | Scumblr 是一个 Web 应用程序,允许对数据源(如 Github 存储库和 URL)执行定期同步,并对识别出的结果执行分析(如静态分析、动态检查和元数据收集)。 Scumblr 通过智能自动化框架帮助您简化主动安全工作,帮助您更快地识别、跟踪和解决安全问题。 |
| STAXX (Anomali) | Anomali STAXX™ 为您提供了一种免费且简便的方式来订阅任何 STIX/TAXII 源。只需下载 STAXX 客户端,配置您的数据源,STAXX 将为您处理其余工作。 |
| stoQ | stoQ 是一个框架,允许网络分析师组织和自动化重复的、数据驱动的任务。它具有用于与许多其他系统交互的插件。 一个用例是从文档中提取 IOC,其示例如 此处 所示,但它也可用于例如内容的去混淆和解码以及使用 YARA 进行自动扫描。 |
| TARDIS | 威胁分析、侦察和数据情报系统 (TARDIS) 是一个开源框架,用于使用攻击签名执行历史搜索。 |
| ThreatConnect | ThreatConnect 是一个具有威胁情报、分析和编排能力的平台。它旨在帮助您收集数据、生产情报、与他人共享并对其采取行动。 |
| ThreatCrowd | ThreatCrowd 是一个用于查找和研究与网络威胁相关的_artifacts_的系统。 |
| ThreatPipes |
领先对手两步。全面了解他们将如何利用您。
ThreatPipes 是一款侦察工具,可自动查询数百个数据源,以收集有关 IP 地址、域名、电子邮件地址、名称等的情报。 您只需指定要调查的目标,选择要启用的模块,然后 ThreatPipes 将收集数据以建立对所有实体及其相互关系的理解。 |
| ThreatExchange | Facebook 创建了 ThreatExchange,以便参与组织可以使用方便、结构化且易于使用的 API 共享威胁数据,该 API 提供隐私控制以实现仅与所需群组共享。该项目仍处于 beta 阶段。参考代码可在 GitHub 找到。 |
| TypeDB CTI | TypeDB 数据 - CTI 是一个面向组织的开源威胁情报平台,用于存储和管理其网络威胁情报 (CTI) 知识。它使威胁情报专业人员能够将其分散的 CTI 信息汇集到一个数据库中,并发现有关网络威胁的新见解。此存储库提供了基于 STIX2 的模式,并包含 MITRE ATT&CK 作为示例数据集以开始探索此威胁情报平台。更多信息请见此 博客文章。 |
| VirusBay | VirusBay 是一个基于 Web 的协作平台,可将安全运营中心 (SOC) 专业人员与相关的恶意软件研究人员连接起来。 |
| threatnote.io | 全新改进的 threatnote.io - 一款供 CTI 分析师和团队在一体化平台中管理情报需求、报告和 CTI 流程的工具 |
| XFE - X-Force Exchange | IBM XFE 的 X-Force Exchange (XFE) 是一款免费的 SaaS 产品,您可以使用它来搜索威胁情报信息、收集您的发现,并与 XFE 社区的其他成员分享您的见解。 |
| Yeti | 开放、分布式、对机器和分析师友好的威胁情报存储库。由事件响应人员创建并为他们服务。 |
| ActorTrackr | ActorTrackr 是一个用于存储/搜索/链接攻击者相关数据的开源 Web 应用程序。主要来源为用户和各种公共存储库。源代码可在 GitHub 上获取。 |
| AIEngine | AIEngine 是下一代交互式/可编程 Python/Ruby/Java/Lua 数据包检查引擎,具有无需任何人工干预即可学习、NIDS(网络入侵检测系统)功能、DNS 域名分类、网络收集器、网络取证等能力。 |
| AIOCRIOC | 人工智能光学字符识别失陷指标 是一个结合了 Web 抓取、Tesseract 的 OCR 功能和兼容 OpenAI 的 LLM API(例如 GPT-4)的工具,用于从报告和其他包含嵌入图像及上下文数据的 Web 内容中解析和提取 IOC。 |
| Analyze (Intezer) | Analyze 是一个多合一的恶意软件分析平台,能够对所有类型的文件执行静态、动态和遗传代码分析。用户可以追踪恶意软件家族,提取 IOCs/MITRE TTPs,并下载 YARA 规则。提供免费起步的社区版。 |
| Automater | Automater 是一款针对 URL/域名、IP 地址和 MD5 哈希的 OSINT 工具,旨在使入侵分析师的分析过程更加轻松。 |
| BlueBox | BlueBox 是一个 OSINT 解决方案,用于获取有关特定文件、IP、域名或 URL 的威胁情报数据并进行分析。 |
| BotScout | BotScout 有助于防止自动网络脚本(即“机器人”)在论坛注册、污染数据库、散播垃圾邮件以及滥用网站上的表单。 |
| bro-intel-generator | 用于从 PDF 或 HTML 报告生成 Bro 情报文件的脚本。 |
| cabby | 一个用于与 TAXII 服务器交互的简单 Python 库。 |
| cacador | Cacador 是一个用 Go 编写的工具,用于从文本块中提取常见的失陷指标。 |
| Combine | Combine 从公开可用的来源收集威胁情报源。 |
| CrowdFMS | CrowdFMS 是一个框架,通过利用 Private API 系统来自动收集和处理来自 VirusTotal 的样本。 该框架会自动下载最近的样本,这些样本曾在用户的 YARA 通知源上触发过警报。 |
| CTI-Transmute | CTI-Transmute 是一款用于在 MISP 和 STIX 格式之间转换网络威胁情报 (CTI) 数据的工具。它提供了一组 API 端点,允许自动转换数据,使得整合不同的威胁情报平台和工作流变得更加容易。源代码可在 GitHub 上获取。 |
| Cuckoo Sandbox | Cuckoo Sandbox 是一个自动化的动态恶意软件分析系统。它是全球最著名的开源恶意软件分析沙箱,被全球的研究人员、CERT/SOC 团队以及威胁情报团队广泛部署。对于许多组织而言,Cuckoo Sandbox 提供了对潜在恶意软件样本的初步洞察。 |
| CyberGordon | CyberGordon 是一个威胁情报搜索引擎。它利用了 30 多个来源。 |
| CyBot | CyBot 是一个威胁情报聊天机器人。它可以执行由自定义模块提供的多种类型的查询。 |
| Fenrir | 简单的 Bash IOC 扫描器。 |
| FireHOL IP Aggregator | 用于保存来自 FireHOL blocklist-ipsets 的源以及 IP 地址出现历史的应用程序。开发了基于 HTTP 的 API 服务用于搜索请求。 |
| Forager | 多线程的威胁情报采集脚本。 |
| Gigasheet | Gigasheet 是一款 SaaS 产品,用于分析海量且异构的网络安全数据集。可导入海量日志文件、网络流、pcaps、大型 CSV 文件等。 |
| GoatRider | GoatRider 是一个简单的工具,可动态拉取 Artillery Threat Intelligence Feeds、TOR、AlienVaults OTX 以及 Alexa 前 100 万个网站,并与主机名文件或 IP 文件进行比较。 |
| Google APT Search Engine | APT 组织、行动和恶意软件搜索引擎。此 Google 自定义搜索使用的来源列在 这个 GitHub gist 上。 |
| GOSINT | GOSINT 框架是一个免费项目,用于收集、处理和导出高质量的公开失陷指标。 |
| hashdd | 一个通过加密哈希值查询相关信息的工具。 |
| Harbinger Threat Intelligence | 允许从单一界面查询多个在线威胁聚合器的 Python 脚本。 |
| Hippocampe | Hippocampe 将来自 Internet 的威胁源聚合到一个 Elasticsearch 集群中。它具有一个 REST API,允许搜索其“记忆”。它基于一个 Python 脚本,该脚本获取与源对应的 URL,对其进行解析和索引。 |
| Hiryu | 一个用于组织 APT 攻击活动信息并可视化 IOC 之间关系的工具。 |
| IOC Editor | 一款免费的失陷指标 编辑器。 |
| IOC Finder | 用于在文本中查找失陷指标 的 Python 库。使用语法而不是正则表达式以提高可读性。截至 2019 年 2 月,它可以解析超过 18 种指标类型。 |
| IOC Fanger (and Defanger) | 用于在文本中对失陷指标 进行装叉 (`hXXp://example[.]com` => `http://example.com`) 和去叉 (`http://example.com` => `hXXp://example[.]com`) 的 Python 库。 |
| ioc_parser | 从 PDF 格式的安全报告中提取失陷指标的工具。 |
| ioc_writer | 提供一个允许基本创建和编辑 OpenIOC 对象的 Python 库。 |
| iocextract | 从文本语料库中提取 URL、IP 地址、MD5/SHA 哈希、电子邮件地址和 YARA 规则。在输出中包含一些编码和“去叉”的 IOC,并可选择对它们进行解码/装叉。 |
| IOCextractor | IOC (失陷指标) 提取器是一个帮助从文本文件中提取 IOC 的程序。总体目标是从非结构化或半结构化数据中解析结构化数据 的过程变得更快。 |
| ibmxforceex.checker.py | IBM X-Force Exchange 的 Python 客户端。 |
| jager | Jager 是一个用于从各种输入源(目前是 PDF,很快会支持纯文本,最终会支持网页)中提取有用的 IOC(失陷指标)并将其放入易于操作的 JSON 格式的工具。 |
| Kaspersky CyberTrace | 威胁情报融合与分析工具,可将威胁数据源与 SIEM 解决方案集成。用户可以在其现有安全运营的工作流中,立即利用威胁情报进行安全监控和事件报告 (IR) 活动。 |
| KLara | KL 是一个用 Python 编写的分布式系统,允许研究人员在一个或多个 Yara 规则的样本集合上进行扫描,当扫描结果准备好时,可以通过电子邮件以及 Web 界面获取通知。 |
| libtaxii | 用于处理调用 TAXII 服务的 TAXII 消息的 Python 库。 |
| Loki | 简单的 IOC 和事件响应扫描器。 |
| LookUp | LookUp 是一个用于获取有关 IP 地址的各种威胁信息的集中页面。它可以轻松集成到诸如 SIEM 之类工具的上下文菜单及其他调查工具中。 |
| Machinae | Machinae 是一款用于从公共站点/源收集有关各种安全相关数据的情报的工具:IP 地址、域名、URL、电子邮件地址、文件哈希和 SSL 指纹。 |
| MalPipe | 一个模块化的恶意软件(和指标)收集与处理框架。它旨在从多个源拉取恶意软件、域名、URL 和 IP 地址,丰富收集到的数据并导出结果。 |
| MISP Workbench | 用于将数据从 MISP MySQL 数据库导出并在该平台之外使用和处理它们的工具。 |
| MISP-Taxii-Server | 一组与 EclecticIQ 的 OpenTAXII 实现一起使用的配置文件,以及当数据发送到 TAXII 服务器的收件箱时的回调。 |
| MSTIC Jupyter and Python Security Tools | msticpy 是一个用于在 Jupyter Notebooks 中进行信息安全 调查和搜寻的库。 |
| nyx | 该项目的目标是促进将威胁情报产物分发到防御系统,并增强从开源和商业工具中获取的价值。 |
| OneMillion | 用于确定域名是否在 Alexa 或 Cisco 前一百万域名列表中的 Python 库。 |
| openioc-to-stix | 从 OpenIOC XML 生成 STIX XML。 |
| Omnibus | Omnibus 是一个交互式命令行应用程序,用于收集和管理 IOC/产物(IP、域名、电子邮件地址、用户名和比特币地址),利用来自公共来源的 OSINT 数据丰富这些产物,并提供以简单方式存储和访问这些产物的方法。 |
| OSTIP | 一个自制的威胁数据平台。 |
| poortego | 用于处理开源情报的存储和链接的开源项目(类似于 Maltego,但是免费的,并且不局限于特定/专有数据库)。最初用 ruby 开发,但新代码库已完全用 python 重写。 |
| PyIOCe | PyIOCe 是一个用 Python 编写的 IOC 编辑器。 |
| QRadio | QRadio 是一个旨在整合网络威胁情报源的工具/框架。 该项目的目标是建立一个强大的模块化框架,用于从经过审查的来源提取情报数据。 |
| rastrea2r | 充满热情和风格地收集与搜寻失险指标! |
| Redline | 一款主机调查工具,除其他功能外,还可用于 IOC 分析。 |
| RITA | 实时情报威胁分析 旨在帮助在各种规模的企业网络中搜寻失陷指标。 |
| Softrace | 轻量级国家软件参考库 RDS 存储。 |
| sqhunter | 基于 osquery、Salt Open 和 Cymon API 的威胁猎人。它可以查询开放的网络套接字并根据威胁情报源进行检查。 |
| SRA TAXII2 Server | 使用 MongoDB 后端在 Node JS 中实现的完整 TAXII 2.0 规范服务器。 |
| Stixvalidator.com | Stixvalidator.com 是一个免费的在线 STIX 和 STIX2 验证器服务。 |
| Stixview | Stixview 是一个用于可嵌入的交互式 STIX2 图形的 JS 库。 |
| stix-viz | STIX 可视化工具。 |
| TAXII Test Server | 允许您通过连接到提供的服务并执行 TAXII 规范中编写的不同功能来测试您的 TAXII 环境。 |
| threataggregator | ThreatAggregrator 从大量在线来源聚合安全威胁,并输出为多种格式,包括 CEF、Snort 和 IPTables 规则。 |
| threatcrowd_api | ThreatCrowd API 的 Python 库。 |
| threatcmd | ThreatCrowd 的命令行界面。 |
| Threatelligence | Threatelligence 是一个简单的网络威胁情报源收集器,使用 Elasticsearch、Kibana 和 Python 自动从自定义或公共来源收集情报。自动更新源并尝试进一步增强仪表板的数据。不过,该项目似乎已不再维护。 |
| ThreatIngestor | 灵活、配置驱动且可扩展的威胁情报消费框架。ThreatIngestor 可以监控 Twitter、RSS 源和其他来源,提取有意义的信息(如 C2 IP/域名和 YARA 签名),并将该信息发送到其他系统进行分析。 |
| ThreatPinch Lookup | 一个 Chrome 扩展程序,可在每个页面上为 IPv4、MD5、SHA2 和 CVE 创建悬停弹出窗口。它可用于在威胁调查期间进行查询。 |
| ThreatTracker | 一个旨在监控一组由 Google 自定义搜索引擎索引的 IOC 并对其生成警报的 Python 脚本。 |
| threat_intel | 集成在一个包中的多个威胁情报 API。包括:OpenDNS Investigate、VirusTotal 和 ShadowServer。 |
| Threat-Intelligence-Hunter | TIH 是一款情报工具,可帮助您在多个公开可用的安全源和一些知名 API 中搜索 IOC。该工具背后的理念是促进搜索和存储频繁添加的 IOC,以创建您自己的本地指标数据库。 |
| tiq-test | 威胁情报商数 (TIQ) 测试工具提供 TI 源的可视化和统计分析。 |
| YETI | YETI 是 TAXII 的一个概念验证实现,支持由 TAXII 服务规范定义的收件箱、轮询和发现服务。 |
| APT & Cyber Criminal Campaign Collection | 大量的(历史)攻击活动集合。条目来自各种来源。 |
| APTnotes | 关于高级持续性威胁 (APTs) 的大量来源集合。这些报告通常包含战略和战术知识或建议。 |
| ATT&CK | 对手战术、技术和通用知识 (ATT&CK™) 是一个用于描述对手在企业网络中操作时可能采取的行动的模型和框架。ATT&CK 是一个不断增长的后渗透技术通用参考,它提高了对网络入侵期间可能看到的行动的认知。MITRE 正积极致力于将其与相关结构(如 CAPEC、STIX 和 MAEC)进行整合。 |
| Building Threat Hunting Strategies with the Diamond Model | Sergio Caltagirone 撰写的关于如何使用钻石模型开发智能威胁狩猎策略的博文。 |
| Cyber Analytics Repository by MITRE | 网络分析库 (CAR) 是由 MITRE 基于对手战术、技术和通用知识 (ATT&CK™) 威胁模型开发的分析知识库。 |
| Cyber Threat Intelligence Capability Maturity Model (CTI-CMM) | 一个新的 网络威胁情报能力成熟度模型 (CTI-CMM),采用利益相关者优先的方法,并与网络安全能力成熟度模型 (C2M2) 保持一致,旨在为您的团队赋能并创造持久价值。 |
| Cyber Threat Intelligence Repository by MITRE | 以 STIX 2.0 JSON 表示的 ATT&CK 和 CAPEC 目录的网络威胁情报库。 |
| Cyber Threat Intelligence: A Product Without a Process? | 一篇描述当前网络威胁情报产品存在哪些不足,以及如何通过引入和评估合理的方法论和流程来改进它们的研究论文。 |
| Definitive Guide to Cyber Threat Intelligence | 描述了网络威胁情报的要素,并讨论了各种人类和技术消费者如何收集、分析和使用它。进一步探讨了情报如何在战术、运营和战略层面改善网络安全,以及它如何帮助您更快地阻止攻击、改善防御,并以典型的 for Dummies(傻瓜书)风格与高管更高效地讨论网络安全问题。 |
| The Detection Maturity Level (DML) | DML 模型是一个能力成熟度模型,用于衡量检测网络攻击的成熟度。 它专为执行情报驱动检测和响应,并重视拥有成熟检测计划的组织而设计。 衡量一个组织的成熟度,不是看其仅仅获取相关情报的能力,而是看其有效将情报应用于检测和响应功能的能力。 |
| The Diamond Model of Intrusion Analysis | 本文介绍了钻石模型,这是一个用于支持和改进入侵分析的认知框架和分析工具。它的主要贡献之一是支持在入侵分析中提高可衡量性、可测试性和可重复性,从而在击败对手时获得更高的有效性、效率和准确性。 |
| The Targeting Process: D3A and F3EAD | F3EAD 是一种结合行动和情报的军事方法论。 |
| Guide to Cyber Threat Information Sharing by NIST | 《网络威胁信息共享指南》(NIST 特别出版物 800-150)协助组织建立计算机安全事件响应能力,通过积极共享威胁情报和持续协调,充分利用合作伙伴的集体知识、经验和能力。该指南为协调事件处理提供了指导方针,包括生成和使用数据、参与信息共享社区以及保护与事件相关的数据。 |
| Intelligence Preparation of the Battlefield/Battlespace | 本出版物将战场情报准备 (IPB) 讨论为军事决策和规划过程的关键组成部分,以及 IPB 如何支持决策制定,以及整合流程和持续活动。 |
| Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains | 本文提出的入侵杀伤链为入侵分析、指标提取和执行防御行动提供了一种结构化的方法。 |
| ISAO Standards Organization | ISAO 标准组织是一个于 2015 年 10 月 1 日成立的非政府组织。其任务是通过识别与网络安全风险、事件和最佳实践相关的强大且有效的信息共享标准和指南,来改善国家的网络安全态势。 |
| Joint Publication 2-0: Joint Intelligence | 这本由美国陆军发布的出版物构成了联合情报学说的基础,并为将行动、计划和情报完全整合为一个有凝聚力的团队奠定了基础。提出的概念同样适用于(网络)威胁情报。 |
| Microsoft Research Paper | 一个用于网络安全信息共享和降低风险的框架。微软的高层次概述论文。 |
| MISP Core Format (draft) | 本文档描述了用于在 MISP(恶意软件信息和威胁共享平台)实例之间交换指标和威胁信息的 MISP 核心格式。 |
| NECOMA Project | 日本-欧洲网络防御导向的多层威胁分析 (NECOMA) 研究项目旨在改进威胁数据收集和分析,以开发和演示新的网络防御机制。 作为该项目的一部分,已经发布了几份出版物和软件项目。 |
| Pyramid of Pain | 痛苦金字塔是一种图形化表达方式,用于说明获取不同级别指标的难度,以及防御者获取这些指标后对手必须消耗的资源量。 |
| Structured Analytic Techniques For Intelligence Analysis | 本书包含的方法代表了情报、执法、国土安全和商业分析领域当前最新的最佳实践。 |
| Threat Intelligence: Collecting, Analysing, Evaluating | 这份由 MWR InfoSecurity 发布的报告清楚地描述了几种不同类型的威胁情报,包括战略、战术和运营变体。它还讨论了威胁情报的需求启发、收集、分析、生产和评估过程。还包括一些快速见效的方法,以及 MWR InfoSecurity 定义的每种威胁情报类型的成熟度模型。 |
| Threat Intelligence Sharing Platforms: An Exploratory Study of Software Vendors and Research Perspectives | 一项针对 22 个威胁情报共享平台 (TISP) 的系统性研究,揭示了关于威胁情报使用现状、其定义和 TISP 的八个关键发现。 |
| Traffic Light Protocol | 交通灯协议 (TLP) 是一组用于确保敏感信息与正确的受众共享的名称标识。它使用四种颜色来指示不同的敏感程度以及接收方应适用的相应共享考量。 |
| Unit42 Playbook Viewer | Playbook 的目标是将对手使用的工具、技术和程序组织成结构化的格式,以便与他人共享并在其基础上进行构建。用于结构和共享对手 playbook 的框架是 MITRE 的 ATT&CK 框架和 STIX 2.0 |
| Who's Using Cyberthreat Intelligence and How? | 一份由 SANS 研究所发布的白皮书,描述了威胁情报的使用情况,包括一项已进行的调查。 |
| WOMBAT Project | WOMBAT 项目旨在提供新方法来了解针对互联网经济和网络公民现有和新兴威胁。为了实现这一目标,该提案包括三个关键工作包: 实时收集各种与安全相关的原始数据, 通过各种分析技术丰富这些输入,以及 对所审查现象的根本原因进行识别和理解。 |
标签:APT, Cloudflare, ESC4, IoC, IP 地址批量处理, IP黑名单, MITRE ATT&CK, OSINT, 入侵指标, 内核模块, 威胁分析, 威胁情报, 威胁情报源, 安全资源, 实时处理, 密码管理, 库, 应急响应, 开发者工具, 恶意IP, 情报共享, 情报标准, 网络安全, 网络安全书籍, 自动化侦查工具, 隐私保护, 高级持续性威胁