herramientas más usadas de ciber-inteligencia para la protección ante amenazas cibernéticas

 herramientas más usadas de ciber-inteligencia para la protección ante amenazas cibernéticas

Listado de las  herramientas más usadas de ciber-inteligencia para la protección ante amenazas cibernéticas

Las industrias de seguridad utilizan con más frecuencia las herramientas de inteligencia de amenazas para probar las vulnerabilidades en la red y en las aplicaciones.

La inteligencia de amenazas requiere, primero, que las organizaciones se conozcan bien a sí mismas, sus fortalezas y debilidades, y luego comprender al atacante. Si una organización no tiene bien identificados sus activos críticos, su infraestructura, su capital humano y sus procesos operativos, podría facilitarse la oportunidad para atacantes. Si además no logra identificar a los actores maliciosos y sus capacidades, entonces tampoco podría reconocer correctamente la intención de dichos actores.

Usualmente, la inteligencia de amenazas se presenta a menudo en forma de indicadores de compromiso. Estos se presentan en la forma de direcciones IP, de correo electrónico, archivos maliciosos, hashes (identificadoras digitales) y algún tipo de comportamiento (patrones que va dejando el atacante y que revelan su modus operandi).

Aquí puede encontrar la lista de herramientas de inteligencia de amenazas que abarcan la operación de pruebas de penetración en todos los entornos corporativos.

Lista de herramientas de inteligencia de amenazas cibernéticas:

Alexa Top 1 Million sites	Lista blanca probable de 1 millón de sitios principales de Amazon (Alexa).
Apility.io	Apility.io es una herramienta de búsqueda de listas negras de API de abuso mínimo. Ayuda a los usuarios a saber inmediatamente si una IP, dominio o correo electrónico está en la lista negra. Extrae automáticamente toda la información en tiempo real desde múltiples fuentes.
APT Groups and Operations	Una hoja de cálculo que contiene información e inteligencia sobre grupos, operaciones y tácticas de APT.
AutoShun	Un servicio público que ofrece como máximo 2000 direcciones IP maliciosas y algunos recursos más.
BGP Ranking	Ranking de ASNs que tienen el contenido más malicioso.
Botnet Tracker	Rastrea varios botnets activos.
BOTVRIJ.EU	Botvrij.eu proporciona diferentes conjuntos de IOC de código abierto que puede utilizar en sus dispositivos de seguridad para detectar posibles actividades maliciosas.
BruteForceBlocker	BruteForceBlocker es un script en perl que supervisa los registros sshd de un servidor e identifica los ataques de fuerza bruta, que luego utiliza para configurar automáticamente las reglas de bloqueo del firewall y enviar esas IP al sitio del proyecto., http://danger.rulez.sk/projects/bruteforceblocker/blist.php.
C&C Tracker	Un feed de direcciones IP de C&C conocidas, activas, de Bambenek Consulting.
CertStream	Ve los certificados SSL a medida que se emiten en tiempo real.
CCSS Forum Malware Certificates	La siguiente es una lista de certificados digitales que han sido reportados por el foro como posiblemente asociados con malware. El objetivo de esta información es ayudar a evitar que las empresas utilicen certificados digitales para agregar legitimidad al malware y fomentar una rápida revocación de dichos certificados.
CI Army List	Un subconjunto de la lista de puntajes de CINS comercial, centrado en IP con calificaciones deficientes que no están actualmente presentes en otras listas de amenazas.
Cisco Umbrella	Lista blanca probable del top 1 millón de sitios resueltos por Cisco Umbrella (era OpenDNS).
Critical Stack Intel	La inteligencia de amenazas gratuita analizada y agregada por Critical Stack está lista para su uso en cualquier sistema de producción de Bro. Puede especificar en qué fuentes confía y desea ingerir.
C1fApp	C1fApp es una aplicación de agregación de fuentes de amenazas, que proporciona una fuente única, tanto de código abierto como privada. Proporciona un panel de estadísticas, API abierta para búsqueda y se está ejecutando desde hace algunos años. Las búsquedas están en datos históricos.
Cymon	Cymon es un agregador de indicadores de múltiples fuentes con historial, por lo que tiene una única interfaz para múltiples fuentes de amenazas. También proporciona una API para buscar una base de datos.
Disposable Email Domains	Una colección de dominios de correo electrónico anónimos o desechables comúnmente utilizados para los servicios de spam /abuso.
DNSTrails	Fuente de inteligencia gratuita para información de DNS actual e histórica, información de WHOIS, búsqueda de otros sitios web asociados con ciertas IP, conocimiento y tecnologías de subdominio. También hay una API de inteligencia de dominio e IP disponible.
Emerging Threats Firewall Rules	Una colección de reglas para varios tipos de firewalls, incluyendo iptables, PF y PIX.
Emerging Threats IDS Rules	Una colección de archivos de reglas de Snort y Suricata que se pueden usar para alertar o bloquear.
ExoneraTor	El servicio ExoneraTor mantiene una base de datos de direcciones IP que han sido parte de la red Tor. Responde a la pregunta de si había un Tor relay ejecutándose en una dirección IP determinada en una fecha determinada.
Exploitalert	Listado de los últimos exploits liberados.
ZeuS Tracker	Feodo Tracker abuse.ch rastrea el troyano Feodo.
FireHOL IP Lists	Más de 400 fuentes IP disponibles públicamente analizadas para documentar su evolución, mapa geográfico, antigüedad de las IP, política de retención, superposiciones. El sitio se centra en los delitos cibernéticos (ataques, abuso, malware).
FraudGuard	FraudGuard es un servicio diseñado para proporcionar una manera fácil de validar el uso mediante la recopilación y el análisis continuos del tráfico de Internet en tiempo real.
Grey Noise	Gray Noise es un sistema que recopila y analiza datos en escáneres de Internet. Recopila datos en escáneres benignos como Shodan.io, así como en actores malintencionados como SSH y gusanos telnet.
Hail a TAXII	Hail a TAXII.com es un repositorio de feeds de código abierto de Inteligencia de amenaza cibernética en formato STIX. Ofrecen varias fuentes, incluidas algunas que se enumeran aquí ya en un formato diferente, como las reglas de amenazas emergentes y las fuentes de PhishTank.
HoneyDB	HoneyDB proporciona datos en tiempo real de la actividad de honeypot. Estos datos provienen de honeypots implementados en Internet utilizando el honeypot de HoneyPy. Además, HoneyDB proporciona acceso API a la actividad de honeypot recopilada, que también incluye datos agregados de varias fuentes de Twitter de honeypot.
Icewater	12,805 reglas gratuitas de Yara creadas por http://icewater.io
I-Blocklist	I-Blocklist mantiene varios tipos de listas que contienen direcciones IP que pertenecen a varias categorías. Algunas de estas categorías principales incluyen países, ISPs y organizaciones. Otras listas incluyen ataques web, TOR, spyware y proxies. Muchos son de uso gratuito y están disponibles en varios formatos.
Majestic Million	Lista blanca probable de 1 millón de sitios web principales, según la clasificación de Majestic. Los sitios están ordenados por el número de subredes de referencia. Más información sobre el ranking se puede encontrar en su blog.
Malc0de DNS Sinkhole	Los archivos en este enlace se actualizarán diariamente con los dominios que se han identificado distribuyendo malware durante los últimos 30 días. Recolectado por malc0de.
MalShare.com	El Proyecto MalShare es un repositorio público de malware que proporciona a los investigadores acceso gratuito a muestras.
Malware Domain List	Una lista de búsqueda de dominios maliciosos que también realiza búsquedas inversas y listas de solicitantes de registro, enfocadas en phishing, troyanos y kits de explotación.
MalwareDomains.com	El proyecto DNS-BH crea y mantiene una lista de dominios que se sabe que se utilizan para propagar malware y spyware. Estos se pueden usar para la detección y la prevención (ocultando solicitudes de DNS).
Metadefender.com	Metadefender Cloud contiene las principales firmas de hash de malware, como MD5, SHA1 y SHA256. Metadefender Cloud detectó estos nuevos hashes maliciosos en las últimas 24 horas. Los feeds se actualizan diariamente con malware recientemente detectado e informado para proporcionar inteligencia de amenazas procesable y oportuna.
Minotaur	El Proyecto Minotaur es un proyecto de investigación en curso por el equipo de NovCon Solutions (novcon.net). Se está construyendo como un centro para que profesionales de la seguridad, investigadores y entusiastas descubran nuevas amenazas y discutan mitigaciones.
Netlab OpenData Project	El proyecto Netlab OpenData se presentó al público por primera vez en ISC ’2016 el 16 de agosto de 2016. Actualmente proporcionamos múltiples fuentes de datos, incluyendo DGA, EK, MalCon, Mirai C2, Mirai-Scanner, Hajime-Scanner y DRDoS Reflector.
NoThink!	SNMP, SSH, Telnet IPs en la lista negra de los Honeypots de Matteo Cantoni.
NormShield Services	Los Servicios de NormShield proporcionan miles de información de dominio (incluida la información whois) de la que pueden provenir los posibles ataques de phishing. Servicios de incumplimiento y lista negra también disponibles. Hay inscripción gratuita en los servicios públicos para el monitoreo continuo.
OpenPhish Feeds	OpenPhish recibe direcciones URL de múltiples transmisiones y las analiza utilizando sus algoritmos de detección de phishing patentados. Hay ofertas gratuitas y comerciales disponibles.
PhishTank	PhishTank entrega una lista de URL sospechosas de phishing. Sus datos provienen de informes humanos, pero también ingieren fuentes externas cuando es posible. Es un servicio gratuito, pero a veces es necesario registrarse para obtener una clave API.
Ransomware Tracker	El Ransomware Tracker por abuse.ch realiza un seguimiento y supervisa el estado de los nombres de dominio, las direcciones IP y las direcciones URL asociadas con Ransomware, como los servidores Botnet C&C, los sitios de distribución y los sitios de pago.
Rutgers Blacklisted IPs	La lista de IP de los atacantes de fuerza bruta SSH se crea a partir de las IP observadas localmente y las IP de 2 horas registradas en badip.com y blocklist.de
SANS ICS Suspicious Domains	Las listas de amenazas de dominios sospechosos por SANS ICS rastrea los dominios sospechosos. Ofrece 3 listas clasificadas como de sensibilidad alta, media o baja, donde la lista de alta sensibilidad tiene menos falsos positivos, mientras que la lista de baja sensibilidad con más falsos positivos. También hay una lista blanca de dominios aprobada.Finalmente, hay una lista de bloqueo de IP sugerida por DShield.
signature-base	Una base de datos de firmas utilizadas en otras herramientas por Neo23x0.
The Spamhaus project	El Proyecto Spamhaus contiene múltiples listas de amenazas asociadas con la actividad de spam y malware.
SSL Blacklist	SSL Blacklist (SSLBL) es un proyecto mantenido por abuse.ch. El objetivo es proporcionar una lista de certificados SSL “incorrectos” identificados por abuse.ch para asociarlos con actividades de malware o botnet. SSLBL se basa en las huellas dactilares SHA1 de certificados SSL maliciosos y ofrece varias listas negras.
Statvoo	Lista blanca probable de 1 millón de sitios web principales, según la clasificación de Statvoo.
Strongarm, by Percipient Networks	Strongarm es un agujero negro de DNS que toma medidas sobre los indicadores de compromiso mediante el bloqueo del comando y control de malware. Strongarm agrega fuentes de indicadores gratuitas, se integra con fuentes comerciales, utiliza las fuentes de IOC de Percipient y opera resolutores de DNS y API para que los use para proteger su red y negocio. Strongarm es gratis para uso personal.
Talos Aspis	El Proyecto Aspis es una colaboración cerrada entre Talos y los proveedores de alojamiento para identificar y disuadir a los principales actores de amenazas. Talos comparte su experiencia, recursos y capacidades, incluyendo análisis forense de redes y sistemas, ingeniería inversa e inteligencia de amenazas sin costo para el proveedor.
Technical Blogs and Reports, by ThreatConnect	Esta fuente se está llenando con el contenido de más de 90 blogs de seguridad de código abierto. Los IOCs (Indicators of Compromise) se analizan en cada blog y el contenido del blog está formateado en markdown.
Threatglass	Una herramienta en línea para compartir, navegar y analizar el malware basado en la web. Threatglass permite a los usuarios explorar gráficamente las infecciones del sitio web al ver capturas de pantalla de las etapas de la infección, así como al analizar las características de la red, como las relaciones con el host y la captura de paquetes.
ThreatMiner	ThreatMiner ha sido creado para liberar a los analistas de la recopilación de datos y proporcionarles un portal en el que puedan llevar a cabo sus tareas, desde la lectura de informes y el enriquecimiento de datos. El énfasis de ThreatMiner no se trata solo de los indicadores de compromiso (IoC), sino también de proporcionar a los analistas información contextual relacionada con la IoC que están viendo.
WSTNPHX Malware Email Addresses	Direcciones de correo electrónico utilizadas por el malware recopilado por VVestron Phoronix (WSTNPHX)
VirusShare	VirusShare.com es un repositorio de muestras de malware para proporcionar investigadores de seguridad, personal de respuesta a incidentes, analistas forenses y el acceso curioso a las muestras de código malicioso. El acceso al sitio se concede solo por invitación.
Yara-Rules	Un repositorio de código abierto con diferentes firmas Yara que se compila, clasifica y mantiene lo más actualizado posible.
ZeuS Tracker	El ZeuS Tracker by abuse.ch rastrea los servidores de control y control de ZeuS (hosts) en todo el mundo y le proporciona un dominio y una lista de bloqueo de IP.

Formatos:

Todo tipo de herramientas para el análisis, creación y edición de Inteligencia de amenazas. En su mayoría basado en IOC.

ActorTrackr	ActorTrackr es una aplicación web de código abierto para almacenar / buscar / vincular datos relacionados con actores. Las fuentes principales son de usuarios y varios repositorios públicos. Fuente disponible en GitHub.
AIEngine	AIEngine es un motor de inspección de paquetes Python / Ruby / Java / Lua programable de próxima generación con capacidades de aprendizaje sin intervención humana, funcionalidad NIDS (Network Intrusion Detection System), clasificación de dominios DNS, recopilador de redes, análisis forense de redes y muchos otros. Fuente disponible en Bitbucket.
Automater	Automater es una herramienta URL / dominio, dirección IP y Md5 Hash OSINT para facilitar el proceso de análisis para los analistas de intrusión.
BotScout	BotScout ayuda a evitar que los scripts web automatizados, conocidos como “bots”, se registren en foros, bases de datos contaminantes, difundan spam y abusen de formularios en sitios web.
bro-intel-generator	Script para generar archivos Bro Intel desde informes pdf o html.
cabby	Una biblioteca Python simple para interactuar con los servidores TAXII.
cacador	Cacador es una herramienta escrita en Go para extraer indicadores comunes de compromiso de un bloque de texto.
Combine	Combine reúne fuentes de inteligencia de amenazas de fuentes disponibles públicamente.
CrowdFMS	CrowdFMS es un marco para automatizar la recolección y el procesamiento de muestras de VirusTotal, aprovechando el sistema de API privada. El marco descarga automáticamente las muestras recientes, lo que desencadenó una alerta en el feed de notificaciones de YARA de los usuarios.
CyBot	CyBot es un robot de chat de inteligencia de amenazas. Puede realizar varios tipos de búsquedas ofrecidas por módulos personalizados.
Cuckoo Sandbox	Cuckoo Sandbox es un sistema automatizado de análisis dinámico de malware. Es la zona de pruebas de análisis de malware de código abierto más conocida y es frecuentemente implementada por investigadores, equipos CERT / SOC y equipos de inteligencia sobre amenazas en todo el mundo. Para muchas organizaciones, Cuckoo Sandbox ofrece una primera visión de posibles muestras de malware.
Fenrir	Simple Bash IOC Scanner.
FireHOL IP Aggregator	Una aplicación para mantener las fuentes de los ipsets de listas de bloqueo de FireHOL (solo se agregan los archivos * .netset y * .ipset) en PostgreSQL con cambios históricos incluidos. Para solicitudes desarrolladas servicio de API basado en HTTP.
Forager	Inteligencia de amenazas multiproceso, construida con Python3.
GoatRider	GoatRider es una herramienta simple que desplegará dinámicamente los feeds de inteligencia de amenazas de artillería, TOR, AlienVaults OTX y  1 millón de sitios web más importantes de Alexa y hará una comparación con un archivo de nombre de host o IP.
Google APT Search Engine	Grupos de APT, Operaciones y Buscador de Malware. Las fuentes utilizadas para esta búsqueda personalizada de Google se enumeran en GitHub gist.
GOSINT	El framework GOSINT es un proyecto gratuito que se utiliza para recopilar, procesar y exportar indicadores públicos de compromiso (COI) de alta calidad.
hashdd	Una herramienta para buscar información relacionada desde el valor criptográfico.
Harbinger Threat Intelligence	Script de Python que permite consultar múltiples amenazas en línea desde una única interfaz.
Hiryu	Una herramienta para organizar la información de la campaña APT y visualizar las relaciones entre los Indicadores de compromiso.
IOC Editor	Un editor gratuito para Indicadores de compromiso.
ioc_parser	Herramienta para extraer indicadores de compromiso de los informes de seguridad en formato PDF.
ioc_writer	Proporciona una biblioteca de Python que permite la creación y edición básicas de objetos OpenIOC.
IOCextractor	IOCExtractor es un programa para ayudar a extraer IOC de archivos de texto. El objetivo general es acelerar el proceso de análisis de datos estructurados (IOC) a partir de datos no estructurados o semiestructurados.
ibmxforceex.checker.py	Cliente basado en Python para IBM XForce Exchange.
jager	Jager es una herramienta para extraer IOC (indicadores de compromiso) útiles de varias fuentes de entrada (PDF por ahora, texto sin formato muy pronto, páginas web eventualmente) y colocarlos en un formato JSON fácil de manipular.
libtaxii	Una biblioteca de Python para manejar los mensajes de TAXII que invocan los servicios de TAXII.
Loki	IOC simple y escáner de respuesta a incidentes.
LookUp	LookUp es una página centralizada para obtener información diversa sobre amenazas sobre una dirección IP. Se puede integrar fácilmente en los menús contextuales de herramientas como SIEM y otras herramientas de investigación.
Machinae	Machinae es una herramienta para recopilar información de sitios / feeds públicos sobre diversos datos relacionados con la seguridad: direcciones IP, nombres de dominio, URL, direcciones de correo electrónico, hashes de archivos y huellas digitales de SSL.
MISP Workbench	Herramientas para exportar datos de la base de datos MySQL de MISP y usarlos y abusar de ellos fuera de esta plataforma.
MISP-Taxii-Server	Un conjunto de archivos de configuración para usar con la implementación OpenTAXII de EclecticIQ, junto con una devolución de llamada para cuando los datos se envían a la bandeja de entrada del servidor TAXII.
nyx	El objetivo de este proyecto es facilitar la distribución de los artefactos de Inteligencia de amenazas a los sistemas defensivos y mejorar el valor derivado de las herramientas de código abierto y comerciales.
openioc-to-stix	Genera XML STIX desde OpenIOC XML.
OSTIP	Una plataforma de datos de amenazas caseras.
poortego	Proyecto de código abierto de ruby para manejar el almacenamiento y la vinculación de la inteligencia de código abierto.
PyIOCe	PyIOCe es un editor de IOC escrito en Python.
QRadio	QRadio es una herramienta / framework diseñado para consolidar las fuentes de inteligencia de amenazas cibernéticas. El objetivo del proyecto es establecer un marco modular robusto para la extracción de datos de inteligencia de fuentes verificadas.
rastrea2r	Busca y recolecta indicadores de compromiso.
Redline	Una herramienta de investigación de host que se puede utilizar, entre otros, para el análisis de IOC.
RITA	Real Intelligence Threat Analytics (RITA) tiene como objetivo ayudar en la búsqueda de indicadores de compromiso en redes empresariales de diferentes tamaños.
stix-viz	Herramienta de visualización STIX.
TAXII Test Server	Le permite probar su entorno de TAXII conectándose a los servicios proporcionados y realizando las diferentes funciones escritas en las especificaciones de TAXII.
threataggregator	ThreatAggregrator agrega amenazas de seguridad de varias fuentes en línea y realiza salidas a varios formatos, incluidas las reglas de CEF, Snort e IPTables.
threatcrowd_api	Biblioteca de Python para la API de ThreatCrowd.
threatcmd	Interfaz de Cli a ThreatCrowd.
Threatelligence	Threatelligence es un simple colector de fuentes de inteligencia de amenazas cibernéticas, que utiliza Elasticsearch, Kibana y Python para recopilar automáticamente información de fuentes personalizadas o públicas. Actualiza automáticamente las fuentes e intenta mejorar aún más los datos para los paneles.
ThreatPinch Lookup	Una extensión para Chrome que crea ventanas emergentes flotantes en cada página para IPv4, MD5, SHA2 y CVE. Puede ser utilizado para búsquedas durante investigaciones de amenazas.
ThreatScanner	ThreatScanner ejecuta un script para buscar reglas IOC o YARA en una sola máquina y genera automáticamente un informe que proporciona detalles de artefactos sospechosos.
ThreatTracker	Una secuencia de comandos de Python diseñada para monitorear y generar alertas en conjuntos determinados de IOC indexados por un conjunto de motores de búsqueda personalizados de Google.
threat_intel	Varias APIs para la inteligencia de amenazas integradas en un solo paquete. Se incluyen: OpenDNS Investigate, VirusTotal y ShadowServer.
Threat-Intelligence-Hunter	TIH es una herramienta de inteligencia que lo ayuda a buscar IOC en múltiples fuentes de seguridad disponibles de forma abierta y algunas API bien conocidas. La idea detrás de la herramienta es facilitar la búsqueda y el almacenamiento de los COI agregados con frecuencia para crear su propia base de datos local de indicadores.
tiq-test	La herramienta de prueba de cociente de inteligencia de amenazas (TIQ) proporciona visualización y análisis estadístico de las fuentes de información de TI.
YETI	YETI es una implementación de prueba de concepto de TAXII que admite los servicios de bandeja de entrada, sondeo y descubrimiento definidos por la especificación de servicios de TAXII.
sqhunter	Cazador de amenazas basado en osquery, Salt Open y Cymon API. Puede consultar sockets de red abiertos y compararlos con fuentes de inteligencia de amenazas.

Investigación, Normas y Libros:

Todo tipo de material de lectura sobre Inteligencia de amenazas incluye la investigación (científica) y libros.

APT & Cyber Criminal Campaign Collection	Extensa colección de campañas (históricas). Las entradas provienen de diversas fuentes.
APTnotes	Una gran colección de fuentes con respecto a las amenazas persistentes avanzadas (APT). Estos informes suelen incluir conocimientos o consejos estratégicos y tácticos.
ATT&CK	Las tácticas, técnicas y conocimientos comunes adversos (ATT & CK ™) son un modelo y marco para describir las acciones que un adversario puede tomar al operar dentro de una red empresarial. ATT & CK es una referencia común en constante crecimiento para las técnicas posteriores al acceso que permite conocer mejor qué acciones se pueden ver durante una intrusión en la red.
Building Threat Hunting Strategies with the Diamond Model	Blogpost de Sergio Caltagirone habla sobre cómo desarrollar estrategias inteligentes de búsqueda de amenazas usando el Modo Diamante
Cyber Analytics Repository by MITRE	El Repositorio de Cyber Analytics (CAR) es una base de conocimiento de análisis desarrollada por MITRE basada en el modelo de amenaza de tácticas, técnicas y conocimiento común (ATT & CK ™).
Definitive Guide to Cyber Threat Intelligence	Describe los elementos de la inteligencia de amenazas cibernéticas y analiza cómo se recopila, analiza y utiliza una variedad de consumidores humanos y tecnológicos. Examina más a fondo cómo la inteligencia puede mejorar la seguridad cibernética en los niveles táctico, operativo y estratégico, y cómo puede ayudarlo a detener los ataques antes, mejorar sus defensas y hablar de manera más productiva acerca de los problemas de seguridad cibernética.
The Detection Maturity Level (DML)	El modelo DML es un modelo de madurez de capacidad para hacer referencia a la madurez en la detección de ataques cibernéticos. Está diseñado para organizaciones que realizan detección y respuesta basadas en inteligencia y que ponen énfasis en tener un programa de detección maduro. La madurez de una organización no se mide por su capacidad para meramente obtener inteligencia relevante, sino más bien por su capacidad para aplicar esa inteligencia de manera efectiva a las funciones de detección y respuesta.
The Diamond Model of Intrusion Analysis	Este artículo presenta el Modelo Diamante, un marco cognitivo e instrumento analítico para respaldar y mejorar el análisis de intrusión. Una de sus principales contribuciones es apoyar una mayor capacidad de medición, capacidad de prueba y repetibilidad en el análisis de intrusión para lograr una mayor efectividad, eficiencia y precisión en la derrota de adversarios.
F3EAD	F3EAD Es una metodología militar para combinar operaciones e inteligencia.
Guide to Cyber Threat Information Sharing by NIST	a Guía para el intercambio de información sobre amenazas cibernéticas (NIST Special Publication 800-150) ayuda a las organizaciones a establecer capacidades de respuesta ante incidentes de seguridad informática que aprovechan el conocimiento colectivo, la experiencia y las capacidades de sus socios al compartir activamente la información sobre amenazas y la coordinación continua. La guía proporciona pautas para el manejo coordinado de incidentes, incluida la producción y el consumo de datos, la participación en comunidades de intercambio de información y la protección de datos relacionados con incidentes.
Intelligence Preparation of the Battlefield/Battlespace	Esta publicación discute la preparación de inteligencia del espacio de batalla (IPB) como un componente crítico del proceso de toma de decisiones y planificación militar y cómo IPB apoya la toma de decisiones, así como la integración de procesos y actividades continuas
Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains	La cadena de eliminación de intrusos que se presenta en este documento proporciona un enfoque estructurado para el análisis de intrusiones, la extracción de indicadores y la realización de acciones defensivas.
Joint Publication 2-0: Joint Intelligence	Esta publicación del ejército de los Estados Unidos forma el núcleo de la doctrina de inteligencia conjunta y sienta las bases para integrar completamente las operaciones, los planes y la inteligencia en un equipo cohesionado. Los conceptos presentados son aplicables también a Inteligencia de amenazas.
Microsoft Research Paper	Un marco para el intercambio de información sobre ciberseguridad y reducción de riesgos. Un documento de resumen de alto nivel.
MISP Core Format (draft)	Este documento describe el formato principal de MISP utilizado para intercambiar indicadores e información de amenazas entre instancias de MISP (información de malware y plataforma para compartir amenazas).
NECOMA Project	El proyecto de investigación Nippon-European Cyberdefense-Oriented Multilayer Analysis (NECOMA) está dirigido a mejorar la recopilación y el análisis de datos de amenazas para desarrollar y demostrar nuevos mecanismos de ciberdefensa. Como parte del proyecto se han publicado varias publicaciones y proyectos de software.
Pyramid of Pain	Es una forma gráfica de expresar la dificultad de obtener diferentes niveles de indicadores y la cantidad de recursos que los adversarios deben gastar cuando los defensores los obtienen.
Structured Analytic Techniques For Intelligence Analysis	Este libro contiene métodos que representan las mejores prácticas más actuales en inteligencia, aplicación de la ley, seguridad nacional y análisis de negocios.
Threat Intelligence: Collecting, Analysing, Evaluating	Este informe de MWR InfoSecurity describe claramente varios tipos diferentes de inteligencia de amenazas, incluidas las variaciones estratégicas, tácticas y operativas. También analiza los procesos de obtención de requisitos, recopilación, análisis, producción y evaluación de inteligencia de amenazas. También se incluyen algunas ganancias rápidas y un modelo de madurez para cada uno de los tipos de inteligencia de amenazas definidos por MWR InfoSecurity.
Threat Intelligence Sharing Platforms: An Exploratory Study of Software Vendors and Research Perspectives	Un estudio sistemático de 22 Plataformas de intercambio de inteligencia de amenazas (TISP, por sus siglas en inglés) surgió ocho hallazgos clave sobre el estado actual del uso de inteligencia de amenazas, su definición y los TISP.
Traffic Light Protocol	El Traffic Light Protocol (TLP) es un conjunto de designaciones que se utilizan para garantizar que la información confidencial se comparta con la audiencia correcta. Emplea cuatro colores para indicar diferentes grados de sensibilidad y las consideraciones de compartición correspondientes que deben aplicar los destinatarios.
Who’s Using Cyberthreat Intelligence and How?	Un documento técnico del Instituto SANS que describe el uso de Inteligencia de amenazas, incluida una encuesta realizada.
WOMBAT Project	El proyecto WOMBAT tiene como objetivo proporcionar nuevos medios para comprender las amenazas existentes y emergentes que se dirigen a la economía de Internet y los ciudadanos de la red. Para alcanzar este objetivo, la propuesta incluye tres paquetes de trabajo clave: (i) recopilación en tiempo real de un conjunto diverso de datos en bruto relacionados con la seguridad, (ii) enriquecimiento de esta entrada por medio de diversas técnicas de análisis, y (iii) identificación de la causa raíz y Comprensión de los fenómenos bajo escrutinio.

Crédito: Este trabajo impresionante fue hecho originalmente por Herman Slatman. Todos los créditos pertenecen al autor original.