# 威胁情报大合集
最好的威胁情报资源的精选列表
威胁情报的简明定义:基于证据的知识,包括上下文、机制、指标、影响与和可行的建议,关于现有或新出现对资产的威胁或风险,可被用来告知有关威胁响应的决定
Feel free to [contribute](CONTRIBUTING.md).
- [资源](#资源)
- [格式](#格式)
- [框架与平台](#框架与平台)
- [工具](#工具)
- [研究、标准、书籍](#research)
## 资源
下面列表中提到的大多数资源/API 都是用来获得最新的威胁情报信息。
有些人不认为这些资源可以当成威胁情报。但是对基于特定域或特定业务的真实威胁情报进行分析是很必要的。
## 格式
用于分享的威胁情报标准化格式
CAPEC
|
Common Attack Pattern Enumeration and Classification (CAPEC) 是一个综合性的术语大全以及对已知攻击的分类,可以被分析、开发、测试以及教育工作者使用,推动社会的重视并且增加网络防御能力
|
CybOX
|
Cyber Observable eXpression (CybOX) 提供了一种用于企业网络安全运营中可观察性的信息结构,用来提高部署的工具和流程的效率、一致性和互通性,通过详细地自动化共享、映射、检测以及启发式分析来挖掘信息的潜在价值
|
IODEF (RFC5070)
|
Incident Object Description Exchange Format (IODEF) 定义了为 CSIRTs 交换有关计算机安全事件信息的框架的数据表示方法
|
IDMEF (RFC4765)
|
Experimental - Intrusion Detection Message Exchange Format (IDMEF) 的目的是定义共享入侵检测和响应系统有用的信息包括可能需要进行交互的管理系统的数据格式和交换过程
|
MAEC
|
Malware Attribute Enumeration and Characterization (MAEC) 项目旨在创建、提供一种根据恶意软件的行为、工具、攻击模式等可用于共享的结构化信息的标准
|
OpenC2
|
OASIS Open Command and Control (OpenC2) Technical Committee. 在创建技术委员会和规范之前,OpenC2 论坛是由国家安全局(NSA)推动的一个网络安全利益相关者社区。OpenC2 技术委员会负责起草文件、规范、词典或其他内容,以标准化的方式满足网络安全指挥和控制的需求
|
STIX 2.0
|
Structured Threat Information eXpression (STIX) 定义了一组网络威胁信息的标准, STIX 旨在完整传达全部潜在地网络威胁信息,力求灵活、可扩展以及自动化。STIX 不仅与工具无关,还提供了所谓的 测试机制,为嵌入特定工具元素提供手段,包括 OpenIOC, Yara and Snort
|
TAXII
|
Trusted Automated eXchange of Indicator Information (TAXII) 标准定义了一系列服务与信息交换的标准,执行实施后可以在组织和产品/服务的边界提供可操作的网络威胁信息,它定义了概念、协议、用于检测、预防和减轻网络威胁的信息交换
|
VERIS
|
Vocabulary for Event Recording and Incident Sharing (VERIS) 是一组指标,旨在提供一种以结构化和可重复的方式描述安全事件的通用语言。VERIS 是对安全行业缺乏高质量信息挑战的回应。除了提供架构格式外,VERIS 也 从 Verizon 数据泄漏调查报告库 (DBIR)社区收集报告和 VCDB.org 的在线数据库
|
## 框架与平台
收集、分析、构建、分享威胁情报的框架、平台与服务
AbuseHelper
|
AbuseHelper 是一个用来接收与重分配威胁情报订阅的开源框架
|
AbuseIO
|
用于接收、处理、关联、通知用户有关滥用的信息
|
AIS
|
Department of Homeland Security’s (DHS) 设计的用于联邦政府和私营部门之间共享威胁指标的标准,威胁指标包括恶意 IP 地址或网络钓鱼邮件发送人等信息
|
Barncat
|
Fidelis Cybersecurity 注册后提供对 Barncat 免费的访问权限,该平台旨在为 CERT、研究人员、政府、ISP 以及大型组织提供,数据库保存着攻击者的各种信息
|
Bearded Avenger
|
CIF 的接替者,最快处理威胁情报的方式
|
Blueliv Threat Exchange Network
|
允许社区的参与者共享威胁情报信息
|
CRITS
|
CRITS 是一个为分析人员提供恶意软件和威胁情报协同研究的平台,可以作为中心情报数据库的一部分,但也可以独立成库
|
CIF
|
Collective Intelligence Framework (CIF) 允许你将已知的多源恶意威胁信息联结起来,可以用于 IR、检测与缓解,代码在 GitHub 上可用
|
IntelMQ
|
IntelMQ 是 CERTs 的一个为了收集和处理安全订阅数据的解决方案,其最初由 IHAP 发起,现在由社区驱动。目标是给事件响应者提供一个简单的方法来收集和处理威胁情报,从而改善 CERT 的事件处理过程
|
Interflow
|
Interflow 是由 Microsoft 为网络安全分析人员创建的安全和威胁信息交换平台,它使用分布式架构,可以在社区内外构建更强大的生态系统来分享安全与威胁信息。Interflow 提供多种配置选项,允许用户决定要组建那些社区,整合那些数据订阅以及与谁共享。Interflow 目前仍然是 private preview 状态
|
Malstrom
|
Malstrom 的目的是来跟踪与取证的神器,还包括 YARA 的规则库与一些调查的笔记
|
ManaTI
|
ManaTI 期望通过使用机器学习技术帮助威胁分析人员自动寻找新的关系与推论
|
MANTIS
|
Model-based Analysis of Threat Intelligence Sources (MANTIS) 网络威胁情报管理框架支持各种标准语言(如 STIX 和 CybOX)来进行网络威胁情报的管理
|
Megatron
|
Megatron 是由 CERT-SE 实施的工具,用于收集和分析恶意 IP,带有数据统计、转换、分析以及事件响应的功能
|
MineMeld
|
Palo Alto Networks 创建的一个可扩展的威胁情报处理框架,它可以有效管理 IOC 列表,并将其转换/汇总到第三方基础架构中使用
|
MISP
|
Malware Information Sharing Platform (MISP) 是一个收集、存储、分发和分享网络安全指标和恶意软件分析信息的开源软件解决方案
|
n6
|
n6 (Network Security Incident eXchange) 是一个大规模收集、管理、分发安全信息的系统,通过简单的 REST API 和 Web 界面即可实现分发,授权用户可以使用它来接收各种类型的数据,特别是有关其网络中威胁的信息,其由 CERT Polska 开发
|
OpenIOC
|
OpenIOC 是一个开放的共享威胁情报的框架,它的目的是用计读的格式互通内部与外部的威胁情报信息
|
OpenTAXII
|
OpenTAXII 是 TAXII 的一个 Python 实现,提供了一系列丰富的功能与友好的 Python API
|
OSTrICa
|
一个开源的插件化框架来对威胁情报的收集与可视化
|
OTX - Open Threat Exchange
|
AlienVault Open Threat Exchange (OTX) 为威胁研究人员和安全专业人士提供全球开放访问,其提供社区生成的威胁数据来实现协作研究,并自动更新汇聚多来源的威胁数据来完善安全基础设施建设
|
Open Threat Partner eXchange
|
Open Threat Partner eXchange (OpenTPX) 由开源格式和用于机器的威胁情报和网络安全工具组成,它是一种基于 JSON 的格式,允许在互联的系统间共享情报
|
PassiveTotal
|
RiskIQ 提供的 PassiveTotal 平台是一个威胁分析平台,可以为威胁分析人员提供尽可能多的数据,来阻止曾经发生过的攻击,提供了不同类型的解决方案和与其他系统的整合
|
Pulsedive
|
Pulsedive 是一个免费的社区威胁情报平台,聚合开源资源,丰富 IOC,并通过风险评分算法过滤 IOC 以提高数据质量。它允许用户提交、搜索、关联与更新 IOC,列出 IOC 的“风险因素”,并提供威胁和威胁活动的高级视图
|
Recorded Future
|
Recorded Future 是一个优秀的 SaaS 产品,可以将不同类型的威胁情报整合到单一的解决方案中,其使用自然语言处理(NLP)和机器学习来实时提供威胁情报,这些都让 Recorded Future 成为 IT 安全团队的热门选择
|
Scumblr
|
Scumblr 是一个可以执行数据源定期同步的 Web 应用程序,并对可识别的结果执行分析(如静态分析、动态检测和元数据收集)。Scumblr 可以帮助你通过智能自动化框架简化安全分析过程,以帮助你更快地识别、跟踪和解决安全问题
|
Soltra Edge
|
Soltra Edge 的免费版本,支持扩展社区防御模型。扩展性好,操作性交互度很高,基于开箱即用的行业标准,包括 STIX 和 TAXII
|
STAXX (Anomali)
|
Anomali STAXX™ 提供了一种免费、简便地方式来处理任何 STIX/TAXII 类的订阅信息。只需要下载 STAXX 客户端,配置好数据源就可以由它完成后续的工作
|
stoQ
|
stoQ 是一个允许网络分析师来组织、自动化那些数据驱动的任务,,它具有许多可用于其他系统的插件,一种用例是从文档中提取 IOC,例如 博客, 也可以用于解帧和解码以及 YARA 的自动扫描
|
TARDIS
|
Threat Analysis, Reconnaissance, and Data Intelligence System (TARDIS) 是一个使用攻击签名执行历史搜索的开源框架
|
ThreatConnect
|
ThreatConnect 是一个分析、编排威胁情报的平台。它旨在帮助收集数据、产生情报、与他人分享数据并采取行动
|
ThreatCrowd
|
ThreatCrowd 是一个发现和研究有关网络威胁的系统
|
ThreatExchange
|
Facebook 创建了 ThreatExchange 可以方便的使用结构化、易用的 API 来共享威胁数据,该 API 提供隐私控制,以便与所需的组织进行共享,该项目仍然处于测试阶段,参考代码可以在 GitHub 中找到
|
VirusBay
|
VirusBay 是一个基于 Web 的协作平台,可将 SOC 与恶意软件研究人员联系起来
|
Threat_Note
|
DPS 的轻量级调查笔记本
|
XFE - X-Force Exchange
|
IBM XFE 开发的 X-Force Exhange (XFE) 是一款免费的 SaaS 产品,可用于搜索威胁情报信息,收集你的数据并与 XFE 社区的其他成员分享你的看法
|
Yara Share
|
Yara Share 是一个在线 Yara 规则编辑器与共享平台
|
Yeti
|
开放、分布式、机器与分析友好的威胁情报存储库,由应急响应人员制作
|
## 工具
用户创建、解析、编辑威胁情报的各种工具,大多数基于 IOC
ActorTrackr
|
ActorTrackr 是一个用来存储/搜索/链接事件相关数据的开源 Web 应用程序。主要来源是用户以及各种公共资料库,也有一些来自 GitHub
|
AIEngine
|
AIEngine 是下一代交互式支持 Python/Ruby/Java/Lua 编程的包检测引擎,无需任何人工干预,具有 NIDS 的功能、DNS 域名分类、网络流量收集、网络取证等许多功能,源码在Bitbucket
|
Automater
|
Automater 是一个集合 URL/Domain、IP Address 和 Md5 的 OSINT 工具,旨在让入侵分析变得更轻松
|
BotScout
|
BotScout 有助于防止论坛注册自动化 Web 脚本、污染数据库、传播垃圾邮件、滥用网站上的表单
|
bro-intel-generator
|
从 PDF 或 HTML 报告中提取信息生成 Bro intel 文件的脚本
|
cabby
|
一个用来和 TAXII 服务器进行交互的简单 Python 库
|
cacador
|
Cacador 是一个使用 Go 编写的工具,用来从一段文本中提取常见的威胁情报指标
|
Combine
|
Combine 聚合了多个公开源的威胁情报
|
CrowdFMS
|
CrowdFMS 是一个利用私有 API 来自动收集与处理来自 VirusTotal 的样本的框架,该框架会自动下载最近的样本,从而触发 YARA 提醒订阅的警报
|
CyBot
|
CyBot 是一个威胁情报聊天机器人,可以执行自定义模块提供的多类型的查找
|
Cuckoo Sandbox
|
Cuckoo 沙盒是自动化动态恶意软件分析系统。它是最知名的开源恶意软件分析沙盒,由研究人员、CERT/SOC 团队和全球的威胁情报团队部署。对于许多组织来说 Cuckoo 沙盒可以发现第一个潜在的恶意软件样本
|
Fenrir
|
简单的 Bash IOC 扫描器
|
FireHOL IP Aggregator
|
在 PostgreSQL 中保留 FireHOL 黑名单 IP 地址数据集,包括历史更改,针对请求开发的基于 HTTP 的 API 服务
|
Forager
|
多线程威胁情报收集脚本
|
GoatRider
|
GoatRider 会动态拉取 Artillery Threat Intelligence 订阅数据、TOR、AlienVaults OTX 以及 Alexa top 1 million websites 与给定的主机名或 IP 进行比较
|
Google APT Search Engine
|
APT 组织与恶意软件搜索引擎,用于此 Google 自定义搜索的来源列表在 GitHub 中
|
GOSINT
|
The GOSINT 框架是一个免费项目,用于收集、处理和导出高质量的 IOC 指标
|
hashdd
|
在 crytographic 上使用哈希值查找相关信息的工具
|
Harbinger Threat Intelligence
|
从单一接口查询多个在线威胁情报聚合服务的 Python 脚本
|
Hiryu
|
一个用来组织 APT 组织信息的工具,并提供 IOC 之间关系的可视化展示
|
IOC Editor
|
一个免费的 Indicators of Compromise (IOCs) 编辑器
|
ioc_parser
|
从 PDF 格式的安全报告中提取 IOC 的工具
|
ioc_writer
|
一个可以创建/编辑基本 OpenIOC 对象的 Python 库
|
IOCextractor
|
IOC (Indicator of Compromise) Extractor 是一个帮助从文本文件中提取 IOC 的程序,旨在加速从非结构化数据/半结构化数据中提取结构化数据的过程
|
ibmxforceex.checker.py
|
IBM X-Force Exchange 的 Python 客户端
|
jager
|
Jager 是一个从各种数据源(现在已支持 PDF,很快支持纯文本,最终会支持网页)提取有用的 IOC 并将其变成易于操作的 JSON 格式的工具
|
libtaxii
|
可以调用 TAXII 服务处理 TAXII 信息的 Python 库
|
Loki
|
简单的 IOC 与事件响应扫描器
|
LookUp
|
LookUp 是一个有关 IP 地址的各种威胁信息的聚合页面,可以轻松的被集成到工具的上下文菜单中,如 SIEM 或其他调查工具
|
Machinae
|
Machinae 是一个用于从公开站点/订阅源收集各种与安全相关数据的工具,包括 IP 地址、域名、URL、电子邮件地址、文件哈希值与 SSL 指纹
|
MISP Workbench
|
将 MISP 的 MySQL 数据库导出,使之可以在外部应用
|
MISP-Taxii-Server
|
一组用于使用 EclecticIQ 的 OpenTAXII 实例的配置文件,当数据送达 TAXII 服务器的收件箱时带有回调
|
nyx
|
该项目的目标是促进威胁情报分发到防御系统中,并增强从开源和商业工具中获得的价值
|
openioc-to-stix
|
转换 STIX XML 为 OpenIOC XML
|
Omnibus
|
Omnibus 是一个交互式命令行程序,用于收集、管理 IOC 指标,使用公共 OSINT 数据进行补充,并提供存储与访问这些指标的简单方法
|
OSTIP
|
自制的威胁数据平台
|
poortego
|
用于处理/链接开源威胁情报的项目。最初用 ruby 开发,新版本用 python 重写了
|
PyIOCe
|
PyIOCe 是一个使用 Python 编写的 IOC 编辑器
|
QRadio
|
QRadio 是一个旨在巩固网络威胁情报源的工具/框架,该项目试图建立一个强大的框架来审查提取得到的威胁情报数据
|
rastrea2r
|
收集与整理 Indicators of Compromise (IOC)
|
Redline
|
主机调查工具,分析其可用于 ICO 分析的数据
|
RITA
|
Real Intelligence Threat Analytics (RITA) 旨在帮助不同规模的企业在网络中搜索 IOC
|
SRA TAXII2 Server
|
带有 MongoDB 后端的 Node JS 实现的完整 TAXII 2.0 服务器
|
stix-viz
|
STIX 可视化工具
|
TAXII Test Server
|
允许你通过连接给定的服务并执行 TAXII 给定的各种功能来测试你的 TAXII 环境
|
threataggregator
|
ThreatAggregrator 聚合了许多在线的威胁情报源,支持输出到各种格式,包括 CEF、Snort 和 iptables 的规则
|
threatcrowd_api
|
使用 ThreatCrowd API 的 Python 库
|
threatcmd
|
ThreatCrowd 的命令行接口
|
Threatelligence
|
Threatelligence 是一个简单的威胁情报订阅收集器,使用 Elasticsearch、Kibana 和 Python 来自动收集自定义或开源的情报,自动跟踪数据更新,但是项目似乎以及放弃更新了
|
ThreatPinch Lookup
|
一个用于在每个页面查找 IPv4、MD5、SHA2 以及 CVEs 的 Chrome 扩展程序
|
ThreatScanner
|
Fidelis Cybersecurity 开发的 ThreatScanner 在本地运行一个搜索 IOC 或 YARA 规则的脚本,并自动生成可疑信息的报告
|
ThreatTracker
|
用于监控并生成一组由 Google 自定义搜索引擎得出的 IOC 数据集
|
threat_intel
|
多个威胁情报的 API 聚合在一个包中,其中包括 OpenDNS Investigate、VirusTotal 和 ShadowServer
|
Threat-Intelligence-Hunter
|
TIH 是一个可以帮助你在多个可公开提取的安全订阅源与知名 API 中提取 IOC 的智能工具,创建这个工具的初衷就是为了方便搜索、存储 IOC,以方便你创建自己的本地数据库
|
tiq-test
|
Threat Intelligence Quotient (TIQ) 测试工具提供对威胁情报的可视化与统计分析
|
YETI
|
YETI 是一个 TAXII 的概念验证,带有收件箱、轮询和 TAXII 的特定服务支持
|
sqhunter
|
基于 osquery、Salt Open 和 Cymon API 的威胁狩猎。它可以查询 open 的网络套接字并根据威胁情报来源进行检查
|
##
## 许可证
Licensed under [Apache License 2.0](LICENSE).