diff --git a/README_ch.md b/README_ch.md
index d45a1f2..a8fe94b 100644
--- a/README_ch.md
+++ b/README_ch.md
@@ -58,6 +58,14 @@
提供不到两千个恶意 IP 地址和其他一些资源的公共服务
+
+ |
+ Binary Defense IP Banlist
+ |
+
+ Binary Defense 的威胁情报订阅源和 IP 黑名单列表
+ |
+
|
BGP Ranking
@@ -159,7 +167,7 @@
DigitalSide Threat-Intel
|
- Cointains 开源网络威胁情报指标集合,基于恶意软件分析的 URL、IP 和域名。该项目的目的是开发和测试寻找、分析、收集与共享相关 IOC 指标的新方法,以便 SOC/CSIRT/CERT/个人尽可能地方便。报告以三种方式共享: STIX2 , CSV 和 MISP Feed 。报告也发布在GitHub中
+ 开源网络威胁情报指标集合,基于恶意软件分析的 URL、IP 和域名。该项目的目的是开发和测试寻找、分析、收集与共享相关 IOC 指标的新方法,以便 SOC/CSIRT/CERT/个人尽可能地方便。报告以三种方式共享: STIX2 , CSV 和 MISP Feed 。报告也发布在GitHub中
|
@@ -306,6 +314,22 @@
IPsum 是一个威胁情报源,基于 30 多个不同的、公开的可疑或恶意的 IP 地址列表。 每天自动检索并解析所有列表,并将最终结果推送到此存储库。列表由 IP 地址和出现的总数组成。 由 Miroslav Stampar 创建并管理
+
+ |
+ James Brine Threat Intelligence Feeds
+ |
+
+ JamesBrine 通过云上和私有服务器上的蜜罐跟踪恶意 IP 地址,提供包括 SSH、FTP、RDP、GIT、SNMP 和 REDIS 在内的每日更新威胁情报。IOC 以 STIX2 格式提供,其披露的域名在钓鱼活动中很常见
+ |
+
+
+ |
+ Kaspersky Threat Data Feeds
+ |
+
+ 持续更新并告知您的企业或客户与网络威胁相关的风险和影响。实时数据可帮助您更有效地缓解威胁,甚至在攻击发起之前就防御攻击。与商业数据相比,演示数据订阅只包含部分 IoC(最多 1%)
+ |
+
|
Majestic Million
@@ -328,6 +352,14 @@
Maldatabase 旨在帮助恶意软件数据科学与威胁情报订阅。提供的数据包含样本通信的域名、执行的进程列表与释放的文件等其他信息。 这些源可以帮助您改进监控与安全工具。安全研究人员与学生都可以免费获得服务。
|
+
+ |
+ Malpedia
+ |
+
+ Malpedia 的主要目标是在调查恶意软件时提供快速识别和可用的上下文。
+ |
+
|
MalShare.com
@@ -343,6 +375,14 @@
|
Maltiverse 项目是一个庞大而丰富的 IoC 数据库,可以进行复杂的查询和聚合以调查恶意软件的活动及其基础设施。也提供了一个很棒的 IoC 批量查询服务
|
+
+
+ |
+ MalwareBazaar
+ |
+
+ MalwareBazaar 是一个来自 abuse.ch 的项目,其目标是与社区、反病毒供应商和威胁情报提供商共享恶意软件样本
+ |
|
@@ -352,6 +392,14 @@
可搜索的恶意网站列表,反向查询出注册人信息,重点关注网络钓鱼、木马和漏洞利用工具包
|
+
+ |
+ Malware Patrol
+ |
+
+ Malware Patrol 为各种规模的公司提供黑名单列表、数据订阅和威胁情报。该公司精于网络威胁情报,重视情报的质量而非情报的数量,确保情报的质量是第一要务。
+ |
+
|
Malware-Traffic-Analysis.net
@@ -407,6 +455,14 @@
NovaSense 是 Snapt 的威胁情报中心,提供用于先发制人的威胁防护和缓解攻击的工具。NovaSense 保护各种规模的客户免受攻击者的侵害
|
+
+ |
+ Obstracts
+ |
+
+ 网络安全团队的 RSS 阅读器,能够将任何博客转变为结构化和可运营的威胁情报
+ |
+
|
OpenPhish Feeds
@@ -448,6 +504,14 @@
另外,也有黑名单 IP blocklist 由 DShield 提供
|
+
+ |
+ Stixify
+ |
+
+ 自动化威胁情报分析工具,从非结构化数据中提取可机读威胁情报
+ |
+
|
signature-base
@@ -496,6 +560,22 @@
Strongarm 是一个 DNS 黑洞,旨在提供阻止恶意软件 C&C 的 IOC 信息,其聚合了许多免费的订阅源,并与商业订阅集成,利用 Percipient 的 IOC 订阅,利用 DNS 解析与 API 来保护你的网络与企业。Strongarm 对个人使用是免费的
|
+
+ |
+ SIEM Rules
+ |
+
+ 检测工程数据库,用于查看、修改和部署 SIEM 规则以进行威胁狩猎
+ |
+
+
+ |
+ threatfeeds.io
+ |
+
+ threatfeeds.io 列出了免费和开源的威胁情报来源,并提供直接下载链接和实时摘要信息
+ |
+
|
Technical Blogs and Reports, by ThreatConnect
@@ -744,10 +824,18 @@
|
|
- Interflow
+ IntelOwl
|
- Interflow 是由 Microsoft 为网络安全分析人员创建的安全和威胁信息交换平台,它使用分布式架构,可以在社区内外构建更强大的生态系统来分享安全与威胁信息。Interflow 提供多种配置选项,允许用户决定要组建那些社区,整合那些数据订阅以及与谁共享。Interflow 目前仍然是 private preview 状态
+ Intel Owl 是一种 OSINT 解决方案,可从单个 API 大规模获取有关特定哈希、IP 或域名的威胁情报数据。Intel Owl 可以运行多个外部分析器从外部来源(如 VirusTotal 或 AbuseIPDB)检索数据或从内部分析器(如 Yara 或 Oletools)生成情报。它可以轻松集成到安全工具集 (pyintelowl) 中,以自动化通常由 SOC 分析师手动执行的常见工作。
+ |
+
+
+ |
+ Kaspersky Threat Intelligence Portal
+ |
+
+ 提供描述网络威胁、合法对象及其关系知识库的网站。订阅卡巴斯基实验室的威胁情报可提供四项补充服务:卡巴斯基威胁数据源、威胁情报报告、卡巴斯基威胁查找和卡巴斯基研究沙盒,所有这些服务均以人类可读和机器可读格式提供。
|
@@ -816,7 +904,7 @@
|
- OpenIOC
+ OpenIOC
|
OpenIOC 是一个开放的共享威胁情报的框架,它的目的是用计读的格式互通内部与外部的威胁情报信息
@@ -856,7 +944,15 @@
|
|
- PassiveTotal
+ Open Threat Partner eXchange
+ |
+
+ Open Threat Partner eXchange(OpenTPX)由开源格式和工具组成,用于交换机器可读的威胁情报和网络安全运营数据。它是一种基于 JSON 的格式,允许在连接的系统之间共享数据
+ |
+
+
+ |
+ PassiveTotal
|
RiskIQ 提供的 PassiveTotal 平台是一个威胁分析平台,可以为威胁分析人员提供尽可能多的数据,来阻止曾经发生过的攻击,提供了不同类型的解决方案和与其他系统的整合
@@ -1018,6 +1114,14 @@
Automater 是一个集合 URL/Domain、IP Address 和 Md5 的 OSINT 工具,旨在让入侵分析变得更轻松
|
+
+ |
+ BlueBox
+ |
+
+ BlueBox 是一个 OSINT 解决方案,用于获取有关特定哈希、IP、域名或 URL 的威胁情报数据并对其进行分析。
+ |
+
|
BotScout
@@ -1066,6 +1170,14 @@
CrowdFMS 是一个利用私有 API 来自动收集与处理来自 VirusTotal 的样本的框架,该框架会自动下载最近的样本,从而触发 YARA 提醒订阅的警报
|
+
+ |
+ CyberGordon
+ |
+
+ CyberGordon 是一个威胁情报搜索引擎,一共集成了 30 多个情报来源
+ |
+
|
CyBot
@@ -1106,6 +1218,14 @@
多线程威胁情报收集脚本
|
+
+ |
+ Gigasheet
+ |
+
+ Gigasheet 是一个 SaaS 产品,用于分析大量不同的网络安全数据集,支持导入海量日志文件、netflow、pcaps、大型 CSV 等
+ |
+
|
GoatRider
@@ -1178,6 +1298,14 @@
用于查找文本中 IOC 指标的 Python 库。使用语法而不是正则表达式来提高可理解性。截至 2019 年 2 月,可以解析 18 种类型的 IOC 指标
|
+
+ |
+ IOC Fanger (and Defanger)
+ |
+
+ 用于在 fanging(`hXXp://example[.]com` => `http://example.com`) 与 defanging(`http://example.com` => `hXXp://example[.]com`) 转换的 Python 库
+ |
+
|
ioc_parser
@@ -1226,6 +1354,14 @@
Jager 是一个从各种数据源(现在已支持 PDF,很快支持纯文本,最终会支持网页)提取有用的 IOC 并将其变成易于操作的 JSON 格式的工具
|
+
+ |
+ Kaspersky CyberTrace
+ |
+
+ 威胁情报融合和分析工具,将威胁数据与 SIEM 解决方案集成在一起。用户可以利用威胁情报在现有安全运营工作流程中进行安全监控和事件报告
+ |
+
|
KLara
@@ -1375,7 +1511,7 @@
Redline
|
- 主机调查工具,分析其可用于 ICO 分析的数据
+ 主机调查工具,分析其可用于 IOC 分析的数据
|
@@ -1525,7 +1661,7 @@
|
- APT & Cyber Criminal Campaign Collection
+ APT & Cyber Criminal Campaign Collection
|
广泛收集各种组织信息,来源多样
@@ -1563,6 +1699,14 @@
Cyber Analytics Repository (CAR) 是 MITRE 基于 ATT&CK™ 开发的知识库
|
+
+ |
+ Cyber Threat Intelligence Repository by MITRE
+ |
+
+ 以 STIX 2.0 JSON 表示的 ATT&CK 和 CAPEC 目录的网络威胁情报存储库
+ |
+
|
Cyber Threat Intelligence: A Product Without a Process?
@@ -1597,7 +1741,7 @@
|
|
- F3EAD
+ The Targeting Process: D3A and F3EAD
|
F3EAD 是一个将行动与情报相结合的军事方法
@@ -1685,7 +1829,7 @@
|
|
- Threat Intelligence: Collecting, Analysing, Evaluating
+ Threat Intelligence: Collecting, Analysing, Evaluating
|
MWR InfoSecurity 的报告清楚的描述了威胁情报几种不同的类型,包括战略、战术和执行变化。还讨论了需求启发、收集、分析、生成和评估威胁情报的过程。也包括了其定义的每种威胁情报的成熟度模型
|