diff --git a/README_ch.md b/README_ch.md index 016bd1f..2837b70 100644 --- a/README_ch.md +++ b/README_ch.md @@ -6,11 +6,13 @@ 提交前请查看 [contribute](CONTRIBUTING.md). -- [资源](#资源) -- [格式](#格式) -- [框架与平台](#框架与平台) -- [工具](#工具) -- [研究、标准、书籍](#研究、标准、书籍) +- [威胁情报大合集](#威胁情报大合集) + - [资源](#资源) + - [格式](#格式) + - [框架与平台](#框架与平台) + - [工具](#工具) + - [研究、标准、书籍](#研究标准书籍) + - [许可证](#许可证) ## 资源 @@ -34,14 +36,6 @@ 亚马逊提供的 Alexa TOP 100 万排名的网站。永远不要将它作为白名单使用 - - - Apility.io - - - Apility.io 是一个简单的反滥用 API 的黑名单,它可以从多个来源帮助用户查询 IP、域名、电子邮件是否被列入黑名单 - - APT Groups and Operations @@ -50,14 +44,6 @@ 一个包含有 APT 组织信息、行动和策略的表格 - - - AutoShun - - - 提供不到两千个恶意 IP 地址和其他一些资源的公共服务 - - Binary Defense IP Banlist @@ -138,6 +124,14 @@ Cisco Umbrella 提供的其 DNS 解析前一百万站点的白名单 + + + Cloudmersive Virus Scan + + + Cloudmersive 服务 API,支持扫描文件、URL 与云存储。百万级威胁检测规则持续更新,扫描性能很高。无需付费,只需要注册账号获取用户 API Key 即可 + + Critical Stack Intel @@ -162,6 +156,14 @@ CyberCure 提供的免费网络威胁情报源,其中包括当前正在互联网上受到感染和攻击的 IP 地址列表。恶意软件使用的 URL 列表以及当前正在传播的已知恶意软件的文件哈希值。CyberCure 使用传感器以低误报收集情报,细节请看文档 + + + Cyware Threat Intelligence Feeds + + + Cyware 提供的威胁情报订阅源,为用户提供各种可信来源的威胁情报数据,整合有价值的、可运营的威胁情报。该威胁情报数据源与 STIX 1.x 和 STIX 2.0 完全兼容,可以为用户实时提供最新的全球恶意软件哈希、IP 和域名 + + DataPlane.org @@ -170,6 +172,14 @@ DataPlane.org 是社区驱动的互联网数据、订阅和测量资源的提供方。免费提供可靠与值得信赖的服务 + + + Focsec.com + + + Focsec.com 对外提供检测 VPN、代理、机器人和 TOR 请求的 API。使用该 API 有助于检测可疑登录、欺诈和滥用行为,具体示例代码可以在文档中找到 + + DigitalSide Threat-Intel @@ -338,20 +348,6 @@ 持续更新并告知您的企业或客户与网络威胁相关的风险和影响。实时数据可帮助您更有效地缓解威胁,甚至在攻击发起之前就防御攻击。与商业数据相比,演示数据订阅只包含部分 IoC(最多 1%) - - - Majestic Million - - - 由 Majestic 为前一百万的网站中排出可能的白名单,按照引用子网的数量排序。更多关于排名的信息可以在 博客中找到 - - - - Malc0de DNS Sinkhole - - 由 Malc0de 每天更新的文件,包含过去三十天内已经识别出分发恶意软件的域名 - - Maldatabase @@ -479,6 +475,14 @@ OpenPhish 接收来自多个流的 URL,然后使用其专有的网络钓鱼检测算法进行检测。有免费以及商业两个版本 + + + 0xSI_f33d + + + 检测钓鱼域名、恶意软件域名、Portuguese 黑名单 IP 的免费服务 + + PhishTank @@ -487,6 +491,14 @@ PhishTank 提供了可疑钓鱼网站的 URL,它们的数据来自各个报告的人,它们也在外部订阅中获得数据,这是一项免费服务,但有时需要 API key + + + PickupSTIX + + + PickupSTIX 是免费、开源、非商业化的网络威胁情报源。目前 PickupSTIX 使用三个公共数据源,每天分发约 100 条新的情报数据。PickupSTIX 将各种威胁信息转换为 STIX 格式,因为 STIX 格式的数据可以与任何 TAXII 服务器互传。这些数据均可以免费使用,是开始入门威胁情报的好方法 + + REScure Threat Intel Feed @@ -495,6 +507,14 @@ [RES]cure 是由 Fruxlabs Crack 团队运营的独立威胁情报项目,旨在增强对分布式系统底层架构的理解、威胁情报的性质以及如何有效地收集、存储、使用和分发威胁情报。 每六小时发布一次 + + + RST Cloud Threat Intel Feed + + + 从多个开放来源和社区收集并经过交叉验证的 IOC 指标数据,使用 RST 提供的情报信息进行富化和排名 + + Rutgers Blacklisted IPs @@ -512,6 +532,14 @@ 另外,也有黑名单 IP blocklistDShield 提供 + + + SecurityScorecard IoCs + + + SecurityScorecard 发布的技术文章和分析报告 + + Stixify @@ -544,12 +572,20 @@ SophosLabs Intelix 是为 Sophos 的产品和合作伙伴提供支持的威胁情报平台。可以基于文件哈希、URL 等进行查询,也可以提交样本进行分析。通过 REST API 可以快速地将威胁情报集成到已有系统中 + + + Spur + + + Spur 能够检测 VPN、住宅代理和机器人。免费接口允许用户查询特定 IP 并获取其分类,以及 VPN 提供商、IP 所属地理位置以及一些更有用的上下文信息 + + SSL Blacklist - SSL Blacklist (SSLBL) 是由 abuse.ch 维护的项目,旨在提供一个与恶意软件、僵尸网络活动有关的不良 SSL 证书列表。SSLBL 提供恶意 SSL 证书的 SHA1 指纹,并且提供多种黑名单 + SSL Blacklist (SSLBL) 是由 abuse.ch 维护的项目,旨在提供一个与恶意软件、僵尸网络活动有关的不良 SSL 证书列表。SSLBL 提供恶意 SSL 证书的 SHA1 指纹,并且提供多种黑名单 @@ -576,6 +612,14 @@ 检测工程数据库,用于查看、修改和部署 SIEM 规则以进行威胁狩猎 + + + Talos + + + Cisco Talos Intelligence Group 是全球最大的商业威胁情报团队之一,由世界一流的研究人员、分析人员和工程师组成。该团队通过无与伦比的遥测数据,构建复杂的信息系统,为思科的客户、产品和服务提供准确、快速、可运营的威胁情报。该团队帮助思科的客户抵御已知与新出现的威胁,发现通用软件中的新漏洞,并在威胁进一步侵入整个互联网之前进行拦截。该团队发布了许多开源研究和分析工具,还维护着 Snort.org、ClamAV 和 SpamCop 的官方规则集合。此外,思科还对外提供了一个易用的界面查看网空对象的信誉信息 + + threatfeeds.io @@ -584,6 +628,14 @@ threatfeeds.io 列出了免费和开源的威胁情报来源,并提供直接下载链接和实时摘要信息 + + + threatfox.abuse.ch + + + ThreatFox 是 abuse.ch 提供的一个免费服务,为社区、反病毒软件厂商和威胁情报厂商共享恶意软件相关的 IOC + + Technical Blogs and Reports, by ThreatConnect @@ -592,6 +644,14 @@ 在九十多个开源博客中提取 IOCs (Indicators of Compromise),博客内容使用 markdown 排版 + + + Threat Jammer + + + Threat Jammer 是 REST API 服务,支持开发人员、安全工程师和其他 IT 专业人员检索来自各种来源的高质量威胁情报数据,并将其集成到应用程序中,以此检测和阻止恶意活动 + + ThreatMiner @@ -640,14 +700,6 @@ 收集不同 Yara 规则的开源库,经过分类并尽量保持时效性 - - - ZeuS Tracker - - - ZeuS Tracker 由 abuse.ch 提供对 ZeuS 的 C&C 主机的跟踪,提供给你域名与主机的黑名单 - - 1st Dual Stack Threat Feed by MrLooquer @@ -814,6 +866,14 @@ Collective Intelligence Framework (CIF) 允许你将已知的多源恶意威胁信息联结起来,可以用于 IR、检测与缓解,代码在 GitHub 上可用 + + + CTIX + + + CTIX 是一个威胁情报平台(TIP),用于在可信网络内提取、丰富、分析和双向共享威胁情报数据 + + EclecticIQ Platform @@ -990,14 +1050,6 @@ Scumblr 是一个可以执行数据源定期同步的 Web 应用程序,并对可识别的结果执行分析(如静态分析、动态检测和元数据收集)。Scumblr 可以帮助你通过智能自动化框架简化安全分析过程,以帮助你更快地识别、跟踪和解决安全问题 - - - Soltra - - - Soltra 支持高操作性交互度、高可扩展性的社区防御模型,使用包括 STIX(2.1)与 TAXII 在内的行业标准构建 - - STAXX (Anomali) @@ -1019,7 +1071,7 @@ TARDIS - Threat Analysis, Reconnaissance, and Data Intelligence System (TARDIS) 是一个使用攻击签名执行历史搜索的开源框架 + Threat Analysis, Reconnaissance, and Data Intelligence System(TARDIS)是使用攻击特征进行检索的开源框架 @@ -1057,6 +1109,14 @@ Facebook 创建了 ThreatExchange 可以方便的使用结构化、易用的 API 来共享威胁数据,该 API 提供隐私控制,以便与所需的组织进行共享,该项目仍然处于测试阶段,参考代码可以在 GitHub 中找到 + + + TypeDB CTI + + + TypeDB Data - CTI 是一个开源威胁情报平台,存储和管理威胁情报。该平台使分析人员能够将不同来源的威胁信息整合到一处,并发现有关网络威胁的新见解。该平台基于 STIX2 搭建架构,并且支持 MITRE ATT&CK。更多信息可参见博客文章 + + VirusBay @@ -1114,6 +1174,14 @@ AIEngine 是下一代交互式支持 Python/Ruby/Java/Lua 编程的包检测引擎,无需任何人工干预,具有 NIDS 的功能、DNS 域名分类、网络流量收集、网络取证等许多功能 + + + Analyze (Intezer) + + + Analytics 是一个一体化恶意软件分析平台,能够对所有类型的文件执行静态分析、动态分析和同源代码分析。用户可以利用该平台跟踪恶意软件家族、提取 IOC/MITRE TTP 并下载 YARA 签名。Intezer 也提供了社区版可以免费使用 + + Automater @@ -1554,6 +1622,14 @@ 带有 MongoDB 后端的 Node JS 实现的完整 TAXII 2.0 服务器 + + + Stixview + + + Stixview 是一个用于控制交互式 STIX2 图数据的 JavaScript 库 + + stix-viz @@ -1784,7 +1860,7 @@ ISAO Standards Organization - ISAO Standards Organization 一个非政府组织,成立于2015年10月1日.。其任务是通过确定与网络安全风险、事件和最佳实践有关的有效信息共享标准与准则,来改善国家的网络安全态势 + ISAO Standards Organization 一个非政府组织,成立于2015年10月1日。其任务是通过确定与网络安全风险、事件和最佳实践有关的有效信息共享标准与准则,来改善国家的网络安全态势 @@ -1837,7 +1913,7 @@ - Threat Intelligence: Collecting, Analysing, Evaluating + Threat Intelligence: Collecting, Analysing, Evaluating MWR InfoSecurity 的报告清楚的描述了威胁情报几种不同的类型,包括战略、战术和执行变化。还讨论了需求启发、收集、分析、生成和评估威胁情报的过程。也包括了其定义的每种威胁情报的成熟度模型 @@ -1869,7 +1945,7 @@ - Who's Using Cyberthreat Intelligence and How? + Who's Using Cyberthreat Intelligence and How? 由 SANS 研究所出品,描述包括策略执行在内的威胁情报使用情况的白皮书