mirror of
https://github.com/hslatman/awesome-threat-intelligence.git
synced 2024-10-01 05:45:38 -04:00
0252bf0dc7
add translation
50 KiB
50 KiB
威胁情报大合集
最好的威胁情报资源的精选列表
威胁情报的简明定义:基于证据的知识,包括上下文、机制、指标、影响与和可行的建议,关于现有或新出现对资产的威胁或风险,可被用来告知有关威胁响应的决定
Feel free to contribute.
资源
下面列表中提到的大多数资源/API 都是用来获得最新的威胁情报信息。 有些人不认为这些资源可以当成威胁情报。但是对基于特定域或特定业务的真实威胁情报进行分析是很必要的。
Alexa Top 1 Million sites | Alexa 上前一百万站点可作为白名单 |
APT Groups and Operations | 一个包含有 APT 组织信息、行动和策略的表格 |
AutoShun | 提供不到两千个恶意 IP 地址和其他一些资源的公共服务 |
BGP Ranking | 提供恶意内容最多的 ASN 排名 |
Botnet Tracker | 对一些活跃的僵尸网络跟踪 |
BruteForceBlocker | BruteForceBlocker 是一个旨在监视服务器上 sshd 日志来阻止暴力破解攻击的 perl 脚本,可以自动配置防火墙阻止规则并且提交恶意 IP 到项目地址, http://danger.rulez.sk/projects/bruteforceblocker/blist.php. |
C&C Tracker | Bambenek Consulting 提供的活动 C&C 服务器的 IP 地址跟踪 |
CI Army List | 商业列表 CINS Score 的子集,聚焦于提供那些其他情报列表重没有的恶意IP地址 |
Cisco Umbrella | Cisco Umbrella 提供的其 DNS 解析前一百万站点的白名单 |
Critical Stack Intel | Critical Stack 提供的免费威胁情报解析与聚合工具,可以应用到生产系统中。也可以指定你信任的情报来源或能提取情报的来源 |
C1fApp | C1fApp 是一个威胁情报订阅聚合应用,提供开源订阅与私有订阅。带有统计面板、用来搜索几年内数据的开放 API |
Cymon | Cymon 是一个多源威胁情报聚合工具,享有到多个威胁情报订阅的单独接口。也提供一个漂亮的 Web 界面使用 API 来搜索数据库 |
Deepviz Threat Intel | Deepviz 提供一个用于恶意软件分析的沙盒,并且提供从沙盒中提取威胁情报的 API |
Emerging Threats Firewall Rules | 不同类型防火墙的规则集,包括 iptables、PF 和 PIX |
Emerging Threats IDS Rules | 用于报警或拦截的 Snort 和 Suricata 规则集 |
ExoneraTor | ExoneraTor 提供 Tor 网络中一部分 IP 地址的数据库,可以响应给定的 IP 地址在给定的时间是否作为 Tor 节点运行过 |
Exploitalert | 最新的 exploits 列表 |
ZeuS Tracker | Feodo Tracker abuse.ch 跟踪 Feodo 木马 |
FireHOL IP Lists | 超过 400 个公开可用的 IP 订阅,可以用来分析其演化、地理位置、时长、保留策略、重叠,这个网站侧重于网络犯罪(攻击、滥用、恶意软件) |
FraudGuard | FraudGuard 提供了一个验证不断收集、分析实时网络流量的工具的服务 |
Hail a TAXII | Hail a TAXII.com 是一个 STIX 格式的开源网络威胁情报库,包括多种不同的格式,例如 Emerging Threats rules 与 PhishTank |
I-Blocklist | I-Blocklist 维护包括 IP 地址在内的多种类型的列表,主要有国家、ISP 和组织。其他列表包括 Web 攻击、Tor、间谍软件、代理,许多都可以免费使用,并且有多种格式 |
MalShare.com | MalShare 项目为研究人员提供一个公开的样本库 |
MalwareDomains.com | DNS-BH 项目创建并维护了一个传播恶意软件以及间谍软件的域名列表,可以被用来检测 DNS 请求做预防检测 |
OpenBL.org | 一个关于暴力破解的 IP 地址的列表,包括 SSH、FTP、IMAP 、phpMyAdmin 以及其他 Web 应用 |
OpenPhish Feeds | OpenPhish 接收来自多个流的 URL,然后使用其专有的网络钓鱼检测算法进行检测。有免费以及商业两个版本 |
PhishTank | PhishTank 提供了可疑钓鱼网站的 URL,它们的数据来自各个报告的人,它们也在外部订阅中获得数据,这是一项免费服务,但有时需要 API key |
Ransomware Tracker | Ransomware Tracker 由 abuse.ch 提供对与 Ransomware 有关的域名、IP、URL 状态进行跟踪与监视 |
SANS ICS Suspicious Domains |
Suspicious Domains Threat 由 SANS ICS 提供对恶意域名的跟踪,提供三个列表分为 高, 中 or 低 三个层级,高级名单的错报低,低级名单的错报高。还有一个域名的 白名单 另外,也有黑名单 IP blocklist 由 DShield 提供
|
格式
用于分享的威胁情报标准化格式
CAPEC | Common Attack Pattern Enumeration and Classification (CAPEC) 是一个综合性的术语大全以及对已知攻击的分类,可以被分析、开发、测试以及教育工作者使用,推动社会的重视并且增加网络防御能力 |
CybOX | Cyber Observable eXpression (CybOX) 提供了一种用于企业网络安全运营中可观察性的信息结构,用来提高部署的工具和流程的效率、一致性和互通性,通过详细地自动化共享、映射、检测以及启发式分析来挖掘信息的潜在价值 |
IODEF (RFC5070) | Incident Object Description Exchange Format (IODEF) 定义了为 CSIRTs 交换有关计算机安全事件信息的框架的数据表示方法 |
IDMEF (RFC4765) | Experimental - Intrusion Detection Message Exchange Format (IDMEF) 的目的是定义共享入侵检测和响应系统有用的信息包括可能需要进行交互的管理系统的数据格式和交换过程 |
MAEC | Malware Attribute Enumeration and Characterization (MAEC) 项目旨在创建、提供一种根据恶意软件的行为、工具、攻击模式等可用于共享的结构化信息的标准 |
STIX | Structured Threat Information eXpression (STIX) 定义了一组网络威胁信息的标准, STIX 旨在完整传达全部潜在地网络威胁信息,力求灵活、可扩展以及自动化。STIX 不仅与工具无关,还提供了所谓的 测试机制,为嵌入特定工具元素提供手段,包括 OpenIOC, Yara and Snort |
TAXII | Trusted Automated eXchange of Indicator Information (TAXII) 标准定义了一系列服务与信息交换的标准,执行实施后可以在组织和产品/服务的边界提供可操作的网络威胁信息,它定义了概念、协议、用于检测、预防和减轻网络威胁的信息交换 |
VERIS | Vocabulary for Event Recording and Incident Sharing (VERIS) 是一组指标,旨在提供一种以结构化和可重复的方式描述安全事件的通用语言。VERIS 是对安全行业缺乏高质量信息挑战的回应。除了提供架构格式外,VERIS 也 从 Verizon 数据泄漏调查报告库 (DBIR)社区收集报告和 VCDB.org 的在线数据库 |
框架与平台
收集、分析、构建、分享威胁情报的框架、平台与服务
AbuseHelper | AbuseHelper 是一个用来接收与重分配威胁情报订阅的开源框架 |
AIS | Department of Homeland Security’s (DHS) 设计的用于联邦政府和私营部门之间共享威胁指标的标准,威胁指标包括恶意 IP 地址或网络钓鱼邮件发送人等信息 |
Barncat | Fidelis Cybersecurity 注册后提供对 Barncat 免费的访问权限,该平台旨在为 CERT、研究人员、政府、ISP 以及大型组织提供,数据库保存着攻击者的各种信息 |
Bearded Avenger | CIF 的接替者,最快处理威胁情报的方式 |
Blueliv Threat Exchange Network | 允许社区的参与者共享威胁情报信息 |
CRITS | CRITS 是一个为分析人员提供恶意软件和威胁情报协同研究的平台,可以作为中心情报数据库的一部分,但也可以独立成库 |
CIF | Collective Intelligence Framework (CIF) 允许你将已知的多源恶意威胁信息联结起来,可以用于 IR、检测与缓解,代码在 GitHub 上可用 |
IntelMQ | IntelMQ 是 CERTs 的一个为了收集和处理安全订阅数据的解决方案,其最初由 IHAP 发起,现在由社区驱动。目标是给事件响应者提供一个简单的方法来收集和处理威胁情报,从而改善 CERT 的事件处理过程 |
Interflow | Interflow 是由 Microsoft 为网络安全分析人员创建的安全和威胁信息交换平台,它使用分布式架构,可以在社区内外构建更强大的生态系统来分享安全与威胁信息。Interflow 提供多种配置选项,允许用户决定要组建那些社区,整合那些数据订阅以及与谁共享。Interflow 目前仍然是 private preview 状态 |
Malstrom | Malstrom 的目的是来跟踪与取证的神器,还包括 YARA 的规则库与一些调查的笔记 |
MANTIS | Model-based Analysis of Threat Intelligence Sources (MANTIS) 网络威胁情报管理框架支持各种标准语言(如 STIX 和 CybOX)来进行网络威胁情报的管理 |
Megatron | Megatron 是由 CERT-SE 实施的工具,用于收集和分析恶意 IP,带有数据统计、转换、分析以及事件响应的功能 |
MineMeld | Palo Alto Networks 创建的一个可扩展的威胁情报处理框架,它可以有效管理 IOC 列表,并将其转换/汇总到第三方基础架构中使用 |
MISP | Malware Information Sharing Platform (MISP) 是一个收集、存储、分发和分享网络安全指标和恶意软件分析信息的开源软件解决方案 |
OpenIOC | OpenIOC 是一个开放的共享威胁情报的框架,它的目的是用计读的格式互通内部与外部的威胁情报信息 |
OpenTAXII | OpenTAXII 是 TAXII 的一个 Python 实现,提供了一系列丰富的功能与友好的 Python API |
OSTrICa | 一个开源的插件化框架来对威胁情报的收集与可视化 |
OTX - Open Threat Exchange | AlienVault Open Threat Exchange (OTX) 为威胁研究人员和安全专业人士提供全球开放访问,其提供社区生成的威胁数据来实现协作研究,并自动更新汇聚多来源的威胁数据来完善安全基础设施建设 |
Open Threat Partner eXchange | Open Threat Partner eXchange (OpenTPX) 由开源格式和用于机器的威胁情报和网络安全工具组成,它是一种基于 JSON 的格式,允许在互联的系统间共享情报 |
PassiveTotal | RiskIQ 提供的 PassiveTotal 平台是一个威胁分析平台,可以为威胁分析人员提供尽可能多的数据,来阻止曾经发生过的攻击,提供了不同类型的解决方案和与其他系统的整合 |
Recorded Future | Recorded Future 是一个优秀的 SaaS 产品,可以将不同类型的威胁情报整合到单一的解决方案中,其使用自然语言处理(NLP)和机器学习来实时提供威胁情报,这些都让 Recorded Future 成为 IT 安全团队的热门选择 |
Scumblr | Scumblr 是一个可以执行数据源定期同步的 Web 应用程序,并对可识别的结果执行分析(如静态分析、动态检测和元数据收集)。Scumblr 可以帮助你通过智能自动化框架简化安全分析过程,以帮助你更快地识别、跟踪和解决安全问题 |
Soltra Edge | Soltra Edge 的免费版本,支持扩展社区防御模型。扩展性好,操作性交互度很高,基于开箱即用的行业标准,包括 STIX 和 TAXII |
STAXX (Anomali) | Anomali STAXX™ 提供了一种免费、简便地方式来处理任何 STIX/TAXII 类的订阅信息。只需要下载 STAXX 客户端,配置好数据源就可以由它完成后续的工作 |
stoQ | stoQ 是一个允许网络分析师来组织、自动化那些数据驱动的任务,,它具有许多可用于其他系统的插件,一种用例是从文档中提取 IOC,例如 博客, 也可以用于解帧和解码以及 YARA 的自动扫描 |
TARDIS | Threat Analysis, Reconnaissance, and Data Intelligence System (TARDIS) 是一个使用攻击签名执行历史搜索的开源框架 |
ThreatCrowd | ThreatCrowd 是一个发现和研究有关网络威胁的系统 |
ThreatExchange | Facebook 创建了 ThreatExchange 可以方便的使用结构化、易用的 API 来共享威胁数据,该 API 提供隐私控制,以便与所需的组织进行共享,该项目仍然处于测试阶段,参考代码可以在 GitHub 中找到 |
Threat_Note | DPS 的轻量级调查笔记本 |
XFE - X-Force Exchange | IBM XFE 开发的 X-Force Exhange (XFE) 是一款免费的 SaaS 产品,可用于搜索威胁情报信息,收集你的数据并与 XFE 社区的其他成员分享你的看法 |
工具
用户创建、解析、编辑威胁情报的各种工具,大多数基于 IOC
ActorTrackr | ActorTrackr 是一个用来存储/搜索/链接事件相关数据的开源 Web 应用程序。主要来源是用户以及各种公共资料库,也有一些来自 GitHub |
AIEngine | AIEngine 是下一代交互式支持 Python/Ruby/Java/Lua 编程的包检测引擎,无需任何人工干预,具有 NIDS 的功能、DNS 域名分类、网络流量收集、网络取证等许多功能,源码在Bitbucket |
Automater | Automater 是一个集合 URL/Domain、IP Address 和 Md5 的 OSINT 工具,旨在让入侵分析变得更轻松 |
Google APT Search Engine | APT 组织与恶意软件搜索引擎,用于此 Google 自定义搜索的来源列表在 GitHub 中 |
bro-intel-generator | 从 PDF 或 HTML 报告中提取信息生成 Bro intel 文件的脚本 |
cabby | 一个用来和 TAXII 服务器进行交互的简单 Python 库 |
cacador | Cacador 是一个使用 Go 编写的工具,用来从一段文本中提取常见的威胁情报指标 |
Combine | Combine 聚合了多个公开源的威胁情报 |
CrowdFMS | CrowdFMS 是一个利用私有 API 来自动收集与处理来自 VirusTotal 的样本的框架,该框架会自动下载最近的样本,从而触发 YARA 提醒订阅的警报 |
Fenrir | 简单的 Bash IOC 扫描器 |
Forager | 多线程威胁情报收集脚本 |
GoatRider | GoatRider 会动态拉取 Artillery Threat Intelligence 订阅数据、TOR、AlienVaults OTX 以及 Alexa top 1 million websites 与给定的主机名或 IP 进行比较 |
Harbinger Threat Intelligence | 从单一接口查询多个在线威胁情报聚合服务的 Python 脚本 |
Hiryu | 一个用来组织 APT 组织信息的工具,并提供 IOC 之间关系的可视化展示 |
IOC Editor | 一个免费的 Indicators of Compromise (IOCs) 编辑器 |
ioc_parser | 从 PDF 格式的安全报告中提取 IOC 的工具 |
ioc_writer | 一个可以创建/编辑基本 OpenIOC 对象的 Python 库 |
IOCextractor | IOC (Indicator of Compromise) Extractor 是一个帮助从文本文件中提取 IOC 的程序,旨在加速从非结构化数据/半结构化数据中提取结构化数据的过程 |
ibmxforceex.checker.py | IBM X-Force Exchange 的 Python 客户端 |
jager | Jager 是一个从各种数据源(现在已支持 PDF,很快支持纯文本,最终会支持网页)提取有用的 IOC 并将其变成易于操作的 JSON 格式的工具 |
libtaxii | 可以调用 TAXII 服务处理 TAXII 信息的 Python 库 |
Loki | 简单的 IOC 与事件响应扫描器 |
LookUp | LookUp 是一个有关 IP 地址的各种威胁信息的聚合页面,可以轻松的被集成到工具的上下文菜单中,如 SIEM 或其他调查工具 |
Machinae | Machinae 是一个用于从公开站点/订阅源收集各种与安全相关数据的工具,包括 IP 地址、域名、URL、电子邮件地址、文件哈希值与 SSL 指纹 |
MISP Workbench | 将 MISP 的 MySQL 数据库导出,使之可以在外部应用 |
MISP-Taxii-Server | 一组用于使用 EclecticIQ 的 OpenTAXII 实例的配置文件,当数据送达 TAXII 服务器的收件箱时带有回调 |
nyx | 该项目的目标是促进威胁情报分发到防御系统中,并增强从开源和商业工具中获得的价值 |
openioc-to-stix | 转换 STIX XML 为 OpenIOC XML |
OSTIP | 自制的威胁数据平台 |
poortego | 用于处理/链接开源威胁情报的开源 Ruby 项目 |
PyIOCe | PyIOCe 是一个使用 Python 编写的 IOC 编辑器 |
QRadio | QRadio 是一个旨在巩固网络威胁情报源的工具/框架,该项目试图建立一个强大的框架来审查提取得到的威胁情报数据 |
rastrea2r | 收集与整理 Indicators of Compromise (IOC) |
Redline | 主机调查工具,分析其可用于 ICO 分析的数据 |
RITA | Real Intelligence Threat Analytics (RITA) 旨在帮助不同规模的企业在网络中搜索 IOC |
stix-viz | STIX 可视化工具 |
TAXII Test Server | 允许你通过连接给定的服务并执行 TAXII 给定的各种功能来测试你的 TAXII 环境 |
threataggregator | ThreatAggregrator 聚合了许多在线的威胁情报源,支持输出到各种格式,包括 CEF、Snort 和 iptables 的规则 |
threatcrowd_api | 使用 ThreatCrowd API 的 Python 库 |
threatcmd | ThreatCrowd 的命令行接口 |
Threatelligence | Threatelligence 是一个简单的威胁情报订阅收集器,使用 Elasticsearch、Kibana 和 Python 来自动收集自定义或开源的情报,自动跟踪数据更新,但是项目似乎以及放弃更新了 |
ThreatPinch Lookup | 一个用于在每个页面查找 IPv4、MD5、SHA2 以及 CVEs 的 Chrome 扩展程序 |
ThreatScanner | Fidelis Cybersecurity 开发的 ThreatScanner 在本地运行一个搜索 IOC 或 YARA 规则的脚本,并自动生成可疑信息的报告 |
ThreatTracker | 用于监控并生成一组由 Google 自定义搜索引擎得出的 IOC 数据集 |
threat_intel | 多个威胁情报的 API 聚合在一个包中,其中包括 OpenDNS Investigate、VirusTotal 和 ShadowServer |
Threat-Intelligence-Hunter | TIH 是一个可以帮助你在多个可公开提取的安全订阅源与知名 API 中提取 IOC 的智能工具,创建这个工具的初衷就是为了方便搜索、存储 IOC,以方便你创建自己的本地数据库 |
tiq-test | Threat Intelligence Quotient (TIQ) 测试工具提供对威胁情报的可视化与统计分析 |
YETI | YETI 是一个 TAXII 的概念验证,带有收件箱、轮询和 TAXII 的特定服务支持 |
yeti | Your Everyday Threat Intelligence (YETI) 每日威胁情报 |
研究、标准、书籍
威胁情报的各种材料,包括研究与白皮书
APT & Cyber Criminal Campaign Collection | 广泛收集各种组织信息,来源多样 |
APTnotes | 关于 APT 的信息收集,通常包括战略、战术知识或建议 |
ATT&CK | Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK™) 是用于描述攻击者在企业内网可能采取行动的一个模型与框架。ATT&CK 对于 post-access 是一个持续进步的共同参考,其可以在网络入侵中意识到什么行动最可能发生。MITRE 正在积极致力于相关信息的构建,就像 CAPEC、STIX 和 MAEC |
Building Threat Hunting Strategies with the Diamond Model | Sergio Caltagirone 的博客:如何利用钻石模型开发威胁情报战略 |
Cyber Analytics Repository by MITRE | Cyber Analytics Repository (CAR) 是 MITRE 基于 ATT&CK™ 开发的知识库 |
Definitive Guide to Cyber Threat Intelligence | 描述了网络威胁情报的要素,讨论了如何收集、分析和使用这些数据来进一步应用在战略、运营层面来提高网络安全,以及如何帮助你更早地阻断攻击,提高自己的防御能力,更加有效的讨论网络安全隐患,以典型的 Dummies 风格进行管理 |
The Detection Maturity Level (DML) | DML 模型是一个能力成熟度模型,引入成熟度来检测网络攻击。专为情报驱动的威胁检测和应急响应而设计,并强调一个成熟的应用流程。成熟度并不是通过获得相关情报的能力还衡量的,而是将能力有效地应用到检测和响应功能上 |
The Diamond Model of Intrusion Analysis | 本文介绍了钻石模型,一种支持和改善入侵分析认知的框架和分析工具。Supporint 为入侵分析中增加了可检测性、可测试性和可重复性来获得更高的有效性,击败对手的效率和准确度是其主要贡献之一 |
F3EAD | F3EAD 是一个将行动与情报相结合的军事方法 |
Guide to Cyber Threat Information Sharing by NIST | Guide to Cyber Threat Information Sharing (NIST Special Publication 800-150) 协助组织建立计算机安全事件响应能力,利用合作伙伴的知识、经验和能力,积极分享威胁情报并持续协调。该指南提供协调事件处理的指导方针,包括生成和使用数据,参与信息共享社区 |
Intelligence Preparation of the Battlefield/Battlespace | 探讨了 intelligence preparation of the battlespace (IPB) 战场的情报准备,讲述了 IPB 作为军事决策与规划的一个重要组成部分是如何支持决策以及整合流程 |
Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains | 此文提出的入侵杀伤链为入侵分析、指标提取与执行防御行动提供了一种结构化的方法 |
Joint Publication 2-0: Joint Intelligence | 美军的这本出版物以情报学说为核心,为运作、计划情报融入一个凝聚力的团队奠定了基础,所提出的概念也适用于网络威胁情报 |
Microsoft Research Paper | 网络安全信息共享与风险降低的框架,微软高级概述文档 |
MISP Core Format (draft) | 文档主要介绍了在 MISP 实例间进行指标与威胁情报交换的核心格式 |
NECOMA Project | Nippon-European Cyberdefense-Oriented Multilayer threat Analysis (NECOMA) 研究项目旨在改进威胁情报的收集和分析,来展示新的网络防范机制,作为项目的一部分,出版物和软件已经面世 |
Pyramid of Pain | Pyramid of Pain 以图形化方式来表达不同级别指标数据的困难度,以及防守者发现时攻击方获得的资源量 |
Structured Analytic Techniques For Intelligence Analysis | 这本书包含了代表威胁情报、法律执行、国土安全以及商业分析最佳实践的方法 |
Threat Intelligence: Collecting, Analysing, Evaluating | MWR InfoSecurity 的报告清楚的描述了威胁情报几种不同的类型,包括战略、战术和执行变化。还讨论了需求启发、收集、分析、生成和评估威胁情报的过程。也包括了其定义的每种威胁情报的成熟度模型 |
Traffic Light Protocol | Traffic Light Protocol (TLP) 是一组用来确保敏感信息可以被正确发布接收的信号组合。其使用四种颜色来标定不同程度的敏感信息和与其敏感程度相适应的接收人 |
Who's Using Cyberthreat Intelligence and How? | 由 SANS 研究所出品,描述包括策略执行在内的威胁情报使用情况的白皮书 |
WOMBAT Project | WOMBAT 项目旨在提供新的手段来了解针对互联网出现的新威胁。为了实现这一目标,该方案包括三个关键的工作:(1)实时收集各种与安全相关的原始数据(2)通过各种分析技术丰富输入数据(3)辨识和理解当前的安全状况 |
许可证
Licensed under Apache License 2.0.