diff --git a/README_ch.md b/README_ch.md
index ab46cb3..5f5f126 100644
--- a/README_ch.md
+++ b/README_ch.md
@@ -6,11 +6,13 @@
Feel free to [contribute](CONTRIBUTING.md).
-- [资源](#资源)
-- [格式](#格式)
-- [框架与平台](#框架与平台)
-- [工具](#工具)
-- [研究、标准、书籍](#research)
+- [威胁情报大合集](#威胁情报大合集)
+ - [资源](#资源)
+ - [格式](#格式)
+ - [框架与平台](#框架与平台)
+ - [工具](#工具)
+ - [ 研究、标准、书籍](#-研究标准书籍)
+ - [许可证](#许可证)
## 资源
@@ -31,7 +33,7 @@ Feel free to [contribute](CONTRIBUTING.md).
Alexa Top 1 Million sites
|
- 亚马逊提供的 Alexa TOP 100 万排名的网站。永远不要作为白名单使用
+ 亚马逊提供的 Alexa TOP 100 万排名的网站。永远不要将它作为白名单使用
|
@@ -132,18 +134,10 @@ Feel free to [contribute](CONTRIBUTING.md).
|
- Critical Stack Intel
+ Critical Stack Intel
|
- Critical Stack 提供的免费威胁情报解析与聚合工具,可以应用到生产系统中。也可以指定你信任的情报来源或能提取情报的来源
- |
-
-
- |
- C1fApp
- |
-
- C1fApp 是一个威胁情报订阅聚合应用,提供开源订阅与私有订阅。带有统计面板、用来搜索几年内数据的开放 API
+ 由 Critical Stack 提供的免费威胁情报解析与聚合工具,可以应用到任何 Bro 生产系统中。也可以指定你信任的情报来源或能提取情报的来源,可能 https://developer.capitalone.com/resources/open-source 是可用的
|
@@ -154,14 +148,6 @@ Feel free to [contribute](CONTRIBUTING.md).
CyberCure 提供的免费网络威胁情报源,其中包括当前正在互联网上受到感染和攻击的 IP 地址列表。恶意软件使用的 URL 列表以及当前正在传播的已知恶意软件的文件哈希值。CyberCure 使用传感器以低误报收集情报,细节请看文档
-
- |
- Cyber Threat Exchange
- |
-
- Threat Exchange 是一个购买、出售与共享网络威胁情报的在线市场平台
- |
-
|
DataPlane.org
@@ -194,14 +180,6 @@ Feel free to [contribute](CONTRIBUTING.md).
提供当前和历史 DNS 信息、WHOIS 信息,子域名信息,还提供了一个 IP 与域名情报的 API
|
-
- |
- DomainStream
- |
-
- 来自每日扫描的各种证书透明度日志和 Passive DNS 数据的实时域名订阅,可以基于此查找互联网中感兴趣的新的子域名,或者查找潜在的网络钓鱼域名
- |
-
|
Emerging Threats Firewall Rules
@@ -295,7 +273,7 @@ Feel free to [contribute](CONTRIBUTING.md).
Icewater
|
- 由 http://icewater.io 提供的 12805 条免费的 Yara 规则
+ 由 Icewater 提供的 12805 条免费的 Yara 规则
|
@@ -303,15 +281,15 @@ Feel free to [contribute](CONTRIBUTING.md).
Infosec - CERT-PA
|
- 恶意软件样本的收集和分析、黑名单服务、漏洞数据库等。创建并管理自定义的CERT-PA
+ 恶意软件样本的收集与分析、黑名单漏洞数据库等其他服务。由 CERT-PA 创建并管理
|
|
- Infosec - CERT-PA
+ InQuest Labs
|
- 恶意软件样本的收集与分析、黑名单漏洞数据库等其他服务。由CERT-PA创建并管理
+ 一个开放、交互式的、由 API 驱动的,面向安全研究人员的数据门户。可以搜索大量的文件样本,聚合了文件的信誉信息以及从公共资源中提取的 IOC 指标。使用工具来增强 Yara 开发、生成触发器、处理大小写混合的十六进制并生成与 base64 兼容的正则表达式
|
@@ -376,6 +354,14 @@ Feel free to [contribute](CONTRIBUTING.md).
可搜索的恶意网站列表,反向查询出注册人信息,重点关注网络钓鱼、木马和漏洞利用工具包
+
+ |
+ Malware-Traffic-Analysis.net
+ |
+
+ 该博客重点介绍与恶意软件相关的网络流量,包含流量分析练习题、教程、恶意软件样本、网络流量 pcap 文件以及技术分析报告
+ |
+
|
MalwareDomains.com
@@ -401,7 +387,7 @@ Feel free to [contribute](CONTRIBUTING.md).
|
|
- NoThink!
+ NoThink!
|
来自 Matteo Cantoni 蜜罐提供的 SNMP、SSH、Telnet 黑名单 IP
@@ -414,7 +400,15 @@ Feel free to [contribute](CONTRIBUTING.md).
|
NormShield Services 提供了数千个潜在网络钓鱼攻击的域名信息(包括 whois 信息),免费注册公共服务以进行持续监控
|
-
+
+
+ |
+ NovaSense Threats
+ |
+
+ NovaSense 是 Snapt 的威胁情报中心,提供用于先发制人的威胁防护和缓解攻击的工具。NovaSense 保护各种规模的客户免受攻击者的侵害
+ |
+
|
OpenPhish Feeds
@@ -431,14 +425,6 @@ Feel free to [contribute](CONTRIBUTING.md).
PhishTank 提供了可疑钓鱼网站的 URL,它们的数据来自各个报告的人,它们也在外部订阅中获得数据,这是一项免费服务,但有时需要 API key
|
-
- |
- Ransomware Tracker
- |
-
- Ransomware Tracker 由 abuse.ch 提供对与 Ransomware 有关的域名、IP、URL 状态进行跟踪与监视
- |
-
|
REScure Threat Intel Feed
@@ -480,6 +466,14 @@ Feel free to [contribute](CONTRIBUTING.md).
Spamhaus 项目包含包括垃圾邮件以及恶意软件活动在内的多种威胁情报
|
+
+ |
+ SophosLabs Intelix
+ |
+
+ SophosLabs Intelix 是为 Sophos 的产品和合作伙伴提供支持的威胁情报平台。可以基于文件哈希、URL 等进行查询,也可以提交样本进行分析。通过 REST API 可以快速地将威胁情报集成到已有系统中
+ |
+
|
SSL Blacklist
@@ -504,14 +498,6 @@ Feel free to [contribute](CONTRIBUTING.md).
Strongarm 是一个 DNS 黑洞,旨在提供阻止恶意软件 C&C 的 IOC 信息,其聚合了许多免费的订阅源,并与商业订阅集成,利用 Percipient 的 IOC 订阅,利用 DNS 解析与 API 来保护你的网络与企业。Strongarm 对个人使用是免费的
|
-
- |
- Talos Aspis
- |
-
- Aspis 是一个 Talos 和主机提供商的封闭合作项目,用来识别与阻止主要威胁。Talos 与主机提供商共享其专业知识、资源与能力,包括网络与系统取证、逆向工程与威胁情报
- |
-
|
Technical Blogs and Reports, by ThreatConnect
@@ -520,14 +506,6 @@ Feel free to [contribute](CONTRIBUTING.md).
在九十多个开源博客中提取 IOCs (Indicators of Compromise),博客内容使用 markdown 排版
|
-
- |
- Threatglass
- |
-
- 一个用于共享、浏览、与分析基于网络的恶意软件的在线工具,Threatglass 允许用户通过浏览器来查看恶意软件在感染阶段的屏幕截图以及网络特性的分析(包括主机关系与数据包捕获)
- |
-
|
ThreatMiner
@@ -549,7 +527,7 @@ Feel free to [contribute](CONTRIBUTING.md).
UnderAttack.today
|
- UnderAttack 是一个免费的情报平台,它共享有关可疑事件和攻击的 IP 地址与其他信息。可在此处免费注册
+ UnderAttack 是一个免费的情报平台,它共享有关可疑事件和攻击的 IP 地址与其他信息。可以免费注册
|
@@ -752,18 +730,18 @@ Feel free to [contribute](CONTRIBUTING.md).
|
- IntelMQ
+ EclecticIQ Platform
|
- IntelMQ 是 CERTs 的一个为了收集和处理安全订阅数据的解决方案,其最初由 IHAP 发起,现在由社区驱动。目标是给事件响应者提供一个简单的方法来收集和处理威胁情报,从而改善 CERT 的事件处理过程
+ EclecticIQ Platform 是基于 STIX/TAXII 的威胁情报平台(TIP),使分析人员能够更快、更好、更深入地调查,同时以机器速度分发威胁情报
|
|
- IntelStitch
+ IntelMQ
|
- IntelStitch 简化了网络威胁情报的聚合、处理与共享。 IntelStitch 可以从传统威胁源以及更多动态源(包括 Pastebin、Twitter 和论坛)收集与处理情报,以便可以更好地与下游安全工具集成。
+ IntelMQ 是 CERTs 的一个为了收集和处理安全订阅数据的解决方案,其最初由 IHAP 发起,现在由社区驱动。目标是给事件响应者提供一个简单的方法来收集和处理威胁情报,从而改善 CERT 的事件处理过程
|
@@ -912,10 +890,10 @@ Feel free to [contribute](CONTRIBUTING.md).
|
- Soltra Edge
+ Soltra
|
- Soltra Edge 的免费版本,支持扩展社区防御模型。扩展性好,操作性交互度很高,基于开箱即用的行业标准,包括 STIX 和 TAXII
+ Soltra 支持高操作性交互度、高可扩展性的社区防御模型,使用包括 STIX(2.1)与 TAXII 在内的行业标准构建
|
@@ -963,7 +941,10 @@ Feel free to [contribute](CONTRIBUTING.md).
ThreatPipes
- ThreatPipes 连接威胁情报源与安全工具,以便它们以强大的新方式协同工作。 ThreatPipes 简化了网络威胁情报的聚合、处理与共享的流程。
+
+ ThreatPipes 可以自动查询 100 余个数据源,以收集与 IP 地址、域名、电子邮件地址、名称等有关的情报
+
+ 只需指定要调查的目标,选择要启用的模块,然后 ThreatPipes 将自动收集数据
|
@@ -984,10 +965,10 @@ Feel free to [contribute](CONTRIBUTING.md).
|
- Threat_Note
+ threatnote.io
|
- DPS 的轻量级调查笔记本
+ 经过改进的 Threatnote.io-CTI 分析团队使用的工具,可以在多平台上管理情报、报告和 CTI 流程
|
@@ -1028,7 +1009,7 @@ Feel free to [contribute](CONTRIBUTING.md).
AIEngine
|
- AIEngine 是下一代交互式支持 Python/Ruby/Java/Lua 编程的包检测引擎,无需任何人工干预,具有 NIDS 的功能、DNS 域名分类、网络流量收集、网络取证等许多功能,源码在Bitbucket
+ AIEngine 是下一代交互式支持 Python/Ruby/Java/Lua 编程的包检测引擎,无需任何人工干预,具有 NIDS 的功能、DNS 域名分类、网络流量收集、网络取证等许多功能
|
@@ -1140,7 +1121,7 @@ Feel free to [contribute](CONTRIBUTING.md).
Google APT Search Engine
|
- APT 组织与恶意软件搜索引擎,用于此 Google 自定义搜索的来源列表在 GitHub 中
+ APT 组织与恶意软件搜索引擎,用于此 Google 自定义搜索的来源列表在 GitHub 中
|
@@ -1310,6 +1291,14 @@ Feel free to [contribute](CONTRIBUTING.md).
|
一组用于使用 EclecticIQ 的 OpenTAXII 实例的配置文件,当数据送达 TAXII 服务器的收件箱时带有回调
|
+
+
+ |
+ MSTIC Jupyter and Python Security Tools
+ |
+
+ msticpy 是用于调查和狩猎的 Jupyter Notebook
+ |
|
@@ -1407,6 +1396,14 @@ Feel free to [contribute](CONTRIBUTING.md).
轻量级国家软件参考库 RDS 存储
|
+
+ |
+ sqhunter
+ |
+
+ 基于 osquery、Salt Open 与 Cymon API 的狩猎工具,可以通过网络查询威胁情报
+ |
+
|
SRA TAXII2 Server
@@ -1519,14 +1516,6 @@ Feel free to [contribute](CONTRIBUTING.md).
YETI 是一个 TAXII 的概念验证,带有收件箱、轮询和 TAXII 的特定服务支持
|
-
- |
- sqhunter
- |
-
- 基于 osquery、Salt Open 和 Cymon API 的威胁狩猎。它可以查询 open 的网络套接字并根据威胁情报来源进行检查
- |
-
@@ -1576,6 +1565,14 @@ Feel free to [contribute](CONTRIBUTING.md).
Cyber Analytics Repository (CAR) 是 MITRE 基于 ATT&CK™ 开发的知识库
+
+ |
+ Cyber Threat Intelligence: A Product Without a Process?
+ |
+
+ 研究当前网络威胁情报产品的不足之处,以及如何通过引入和评估合理的方法和流程来加以改进
+ |
+
|
Definitive Guide to Cyber Threat Intelligence
@@ -1594,7 +1591,7 @@ Feel free to [contribute](CONTRIBUTING.md).
|
|
- The Diamond Model of Intrusion Analysis
+ The Diamond Model of Intrusion Analysis
|
本文介绍了钻石模型,一种支持和改善入侵分析认知的框架和分析工具。Supporint 为入侵分析中增加了可检测性、可测试性和可重复性来获得更高的有效性,击败对手的效率和准确度是其主要贡献之一
@@ -1602,7 +1599,7 @@ Feel free to [contribute](CONTRIBUTING.md).
|
|
- F3EAD
+ F3EAD
|
F3EAD 是一个将行动与情报相结合的军事方法
@@ -1610,7 +1607,7 @@ Feel free to [contribute](CONTRIBUTING.md).
|
|
- Guide to Cyber Threat Information Sharing by NIST
+ Guide to Cyber Threat Information Sharing by NIST
|
Guide to Cyber Threat Information Sharing (NIST Special Publication 800-150) 协助组织建立计算机安全事件响应能力,利用合作伙伴的知识、经验和能力,积极分享威胁情报并持续协调。该指南提供协调事件处理的指导方针,包括生成和使用数据,参与信息共享社区
@@ -1642,7 +1639,7 @@ Feel free to [contribute](CONTRIBUTING.md).
|
|
- Joint Publication 2-0: Joint Intelligence
+ Joint Publication 2-0: Joint Intelligence
|
美军的这本出版物以情报学说为核心,为运作、计划情报融入一个凝聚力的团队奠定了基础,所提出的概念也适用于网络威胁情报
@@ -1674,7 +1671,7 @@ Feel free to [contribute](CONTRIBUTING.md).
|
|
- Pyramid of Pain
+ Pyramid of Pain
|
Pyramid of Pain 以图形化方式来表达不同级别指标数据的困难度,以及防守者发现时攻击方获得的资源量
@@ -1682,7 +1679,7 @@ Feel free to [contribute](CONTRIBUTING.md).
|
|
- Structured Analytic Techniques For Intelligence Analysis
+ Structured Analytic Techniques For Intelligence Analysis
|
这本书包含了代表威胁情报、法律执行、国土安全以及商业分析最佳实践的方法
|