Ferramentas de inteligência de ameaças cibernéticas para profissionais de segurança - 2021
Ferramentas de inteligência de ameaças cibernéticas para profissionais de segurança - 2021
O que é inteligência contra ameaças cibernéticas?
Inteligência de ameaças cibernéticas é o processo de conhecer as ameaças e testar vulnerabilidades prejudiciais no ciberespaço. Essas fontes incluem inteligência de código aberto, inteligência de mídia social, inteligência humana, inteligência técnica ou inteligência da web profunda e escura. Essas são ferramentas de segurança críticas que usam dados de segurança globais para ajudar a identificar, atenuar e corrigir ameaças de segurança de forma proativa.
Como as plataformas de inteligência de ameaças funcionam?
A Threat Intelligence Platform trabalha com fornecedores de sistemas de gerenciamento de SIEM e Log nos bastidores, baixando indicadores para levar a soluções de segurança dentro da infraestrutura de rede do cliente. O ônus de estabelecer e manter essas integrações é, portanto, retirado dos analistas e, em vez disso, transferido para os fornecedores de SIEM e TIP.
É muito útil para muitas equipes em uma organização, como equipes do Security Operations Center (SOC), equipes de inteligência de ameaças, gerenciamento e equipes executivas. E as possíveis integrações de produtos de segurança incluem API, SIEM, Endpoint, IPS e Firewall.
Esta é a lista de ferramentas de inteligência contra ameaças cibernéticas:
Uma Inteligência de Ameaças é um conhecimento baseado em evidências, que inclui contexto, mecanismos, indicadores, implicações e conselhos acionáveis, sobre uma ameaça existente ou emergente ou perigo para ativos que pode ser usado para informar as decisões sobre a resposta do sujeito a essa ameaça ou perigo . Para mais detalhes, verifique aqui .
| ActorTrackr | ActorTrackr é um aplicativo da web de código aberto para armazenar / pesquisar / vincular dados relacionados a atores. As fontes primárias são de usuários e vários repositórios públicos. Fonte disponível no GitHub . |
| AIEngine | AIEngine é um mecanismo de inspeção de pacotes interativo / programável Python / Ruby / Java / Lua de última geração com recursos de aprendizagem sem qualquer intervenção humana, funcionalidade NIDS (Network Intrusion Detection System), classificação de domínio DNS, coletor de rede, análise forense de rede e muitos outros . |
| Automater | Automater é uma ferramenta URL / Domínio, Endereço IP e Md5 Hash OSINT destinada a tornar o processo de análise mais fácil para analistas de intrusão. |
| BotScout | O BotScout ajuda a evitar que scripts da web automatizados, conhecidos como “bots”, se registrem em fóruns, poluindo bancos de dados, espalhando spam e abusando de formulários em sites. |
| bro-intel-generator | Script para gerar arquivos intel Bro a partir de relatórios pdf ou html. |
| taxista | Uma biblioteca Python simples para interagir com servidores TAXII. |
| cacador | Cacador é uma ferramenta escrita em Go para extrair indicadores comuns de comprometimento de um bloco de texto. |
| Combinar | Combine reúne feeds de inteligência de ameaças de fontes disponíveis publicamente. |
| CrowdFMS | CrowdFMS é uma estrutura para automatizar a coleta e o processamento de amostras do VirusTotal, aproveitando o sistema API privado. A estrutura baixa automaticamente as amostras recentes, o que acionou um alerta no feed de notificação do YARA dos usuários. |
| CyBot | CyBot é um bot de bate-papo de inteligência contra ameaças. Ele pode realizar vários tipos de pesquisas oferecidas por módulos personalizados. |
| Cuckoo Sandbox | Cuckoo Sandbox é um sistema de análise de malware dinâmico e automatizado. É o sandbox de análise de malware de código aberto mais conhecido do mercado e é frequentemente implantado por pesquisadores, equipes CERT / SOC e equipes de inteligência de ameaças em todo o mundo. Para muitas organizações, o Cuckoo Sandbox oferece um primeiro insight sobre possíveis amostras de malware. |
| Fenrir | Scanner Bash IOC simples. |
| FireHOL IP Aggregator | Aplicativo para manter feeds de ipsets de lista de bloqueio FireHOL com histórico de aparência de endereços IP. O serviço de API baseado em HTTP é desenvolvido para solicitações de pesquisa. |
| Forrageador | Script caçador-coletor de inteligência de ameaças multithread. |
| GoatRider | GoatRider é uma ferramenta simples que puxa dinamicamente Artillery Threat Intelligence Feeds, TOR, AlienVaults OTX e Alexa 1 milhão de sites da Web e faz uma comparação com um arquivo de nome de host ou arquivo IP. |
| Google APT Search Engine | Grupos APT, operações e mecanismo de pesquisa de malware. As fontes usadas para esta Pesquisa personalizada do Google estão listadas neste GitHub gist. |
| GOSINT | A estrutura GOSINT é um projeto gratuito usado para coletar, processar e exportar indicadores públicos de compromisso (IOCs) de alta qualidade. |
| hashdd | Uma ferramenta para pesquisar informações relacionadas a partir do valor de hash criografico |
| Harbinger Threat Intelligence | Script Python que permite consultar vários agregadores de ameaças online a partir de uma única interface. |
| Hipocampe | O Hippocampe agrega feeds de ameaças da Internet em um cluster Elasticsearch. Possui uma API REST que permite pesquisar em sua 'memória'. Ele é baseado em um script Python que busca URLs correspondentes a feeds, os analisa e os indexa. |
| Hiryu | Uma ferramenta para organizar as informações da campanha do APT e para visualizar as relações entre os IOCs. |
| Editor IOC | Um editor gratuito para Indicadores de Compromisso (IOCs). |
| IOC Finder | Biblioteca Python para encontrar indicadores de comprometimento no texto. Usa gramáticas em vez de regexes para melhor compreensão. Desde fevereiro de 2019, ele analisa mais de 18 tipos de indicadores. |
| IOC Fanger (e Defanger) | Biblioteca Python para fanging (`hXXp: // example [.] Com` =>` http: // example.com` ) e defanging (` http: // example.com` =>` hXXp: // example [. ] com`) indicadores de compromisso no texto. |
| ioc_parser | Ferramenta para extrair indicadores de comprometimento de relatórios de segurança em formato PDF. |
| ioc_writer | Fornece uma biblioteca Python que permite a criação e edição básicas de objetos OpenIOC. |
| iocextract | Extrai URLs, endereços IP, hashes MD5 / SHA, endereços de e-mail e regras YARA de corpora de texto. Inclui alguns IOCs codificados e “desfigurados” na saída e, opcionalmente, os decodifica / reorganiza. |
| IOCextractor | IOC (Indicator of Compromise) Extractor é um programa para ajudar a extrair IOCs de arquivos de texto. O objetivo geral é acelerar o processo de análise de dados estruturados (IOCs) de dados não estruturados ou semiestruturados |
| ibmxforceex.checker.py | Cliente Python para o IBM X-Force Exchange. |
| jager | Jager é uma ferramenta para extrair IOCs (indicadores de comprometimento) úteis de várias fontes de entrada (PDFs por enquanto, texto simples muito em breve, páginas da Web eventualmente) e colocá-los em um formato JSON fácil de manipular. |
| Kaspersky CyberTrace | Ferramenta de análise e fusão de inteligência de ameaças que integra feeds de dados de ameaças com soluções SIEM. Os usuários podem aproveitar imediatamente a inteligência de ameaças para monitoramento de segurança e atividades de relatório de incidentes (IR) no fluxo de trabalho de suas operações de segurança existentes. |
| KLara | KLara, um sistema distribuído escrito em Python, permite aos pesquisadores escanear uma ou mais regras Yara sobre coleções com amostras, recebendo notificações por e-mail e também pela interface web quando os resultados da varredura estiverem prontos. |
| libtaxii | Uma biblioteca Python para lidar com mensagens TAXII que invocam os serviços TAXII. |
| Loki | IOC simples e scanner de resposta a incidentes. |
| Olho para cima | LookUp é uma página centralizada para obter várias informações de ameaças sobre um endereço IP. Ele pode ser integrado facilmente em menus de contexto de ferramentas como SIEMs e outras ferramentas investigativas. |
| Machinae | Machinae é uma ferramenta para coletar inteligência de sites / feeds públicos sobre vários dados relacionados à segurança: endereços IP, nomes de domínio, URLs, endereços de e-mail, hashes de arquivo e impressões digitais SSL. |
| MalPipe | Estrutura de coleta e processamento de malware amodular (e indicador). Ele é projetado para extrair malware, domínios, URLs e endereços IP de vários feeds, enriquecer os dados coletados e exportar os resultados. |
| MISP Workbench | Ferramentas para exportar dados do banco de dados MISP MySQL e usar e abusar deles fora desta plataforma. |
| MISP-Taxii-Server | Um conjunto de arquivos de configuração para usar com a implementação OpenTAXII do EclecticIQ, junto com um retorno de chamada para quando os dados são enviados para a caixa de entrada do servidor TAXII. |
| Ferramentas de segurança MSTIC Jupyter e Python | msticpy é uma biblioteca para investigação e busca InfoSec em Notebooks Jupyter. |
| nyx | O objetivo deste projeto é facilitar a distribuição de artefatos de Inteligência de Ameaças para sistemas defensivos e aumentar o valor derivado de ferramentas de código aberto e comerciais. |
| Um milhão | Biblioteca Python para determinar se um domínio está no topo Alexa ou Cisco, um milhão de listas de domínio. |
| openioc-to-stix | Gere STIX XML a partir de OpenIOC XML. |
| Ônibus | Omnibus é um aplicativo de linha de comando interativo para coletar e gerenciar IOCs / artefatos (IPs, domínios, endereços de e-mail, nomes de usuário e endereços de Bitcoin), enriquecendo esses artefatos com dados OSINT de fontes públicas e fornecendo os meios para armazenar e acessar esses artefatos em uma maneira simples. |
| OSTIP | Uma plataforma de dados de ameaças caseiras. |
| Poortego | Projeto de código aberto para lidar com o armazenamento e vinculação de inteligência de código aberto (ala Maltego, mas gratuito como na cerveja e não vinculado a um banco de dados específico / proprietário). Originalmente desenvolvido em ruby, mas nova base de código completamente reescrita em python. |
| PyIOCe | PyIOCe é um editor IOC escrito em Python. |
| QRadio | QRadio é uma ferramenta / estrutura projetada para consolidar fontes de inteligência de ameaças cibernéticas. O objetivo do projeto é estabelecer uma estrutura modular robusta para extração de dados de inteligência de fontes verificadas. |
| rastrea2r | Coletando e Caçando Indicadores de Compromisso (IOC) com gosto e estilo! |
| linha Vermelha | Uma ferramenta de investigação de host que pode ser usada para, entre outras, análises de IOC. |
| RITA | O Real Intelligence Threat Analytics (RITA) se destina a ajudar na busca de indicadores de comprometimento em redes corporativas de vários tamanhos. |
| Softrace | Armazenamento RDS leve da National Software Reference Library. |
| sqhunter | Threat hunter baseado em osquery, Salt Open e Cymon API. Ele pode consultar soquetes de rede abertos e compará-los com fontes de inteligência de ameaças |
| Servidor SRA TAXII2 | Servidor de especificação TAXII 2.0 completo implementado em Node JS com backend MongoDB. |
| stix-viz | Ferramenta de visualização STIX. |
| Servidor de teste TAXII | Permite que você teste seu ambiente TAXII conectando-se aos serviços fornecidos e executando as diferentes funções conforme escrito nas especificações TAXII. |
| agregador de ameaça | ThreatAggregrator agrega ameaças de segurança de várias fontes online e saídas para vários formatos, incluindo CEF, Snort e regras IPTables. |
| ameaçacrowd_api | Biblioteca Python para API do ThreatCrowd. |
| ameaçacmd | Interface Cli para ThreatCrowd. |
| Threatelligence | Threatelligence é um coletor de feed de inteligência de ameaças cibernéticas simples, usando Elasticsearch, Kibana e Python para coletar automaticamente inteligência de fontes públicas ou personalizadas. Atualiza feeds automaticamente e tenta aprimorar ainda mais os dados dos painéis. Os projetos parecem não ser mais mantidos, no entanto. |
| ThreatIngestor | Estrutura flexível, orientada por configuração e extensível para consumir inteligência contra ameaças. O ThreatIngestor pode assistir Twitter, feeds RSS e outras fontes, extrair informações significativas como IPs / domínios C2 e assinaturas YARA e enviar essas informações a outros sistemas para análise. |
| Pesquisa ThreatPinch | Uma extensão para o Chrome que cria pop-ups de foco em todas as páginas para IPv4, MD5, SHA2 e CVEs. Ele pode ser usado para pesquisas durante investigações de ameaças. |
| ThreatTracker | Um script Python projetado para monitorar e gerar alertas em determinados conjuntos de IOCs indexados por um conjunto de Mecanismos de pesquisa personalizados do Google. |
| ameaça_intel | Diversas APIs para inteligência de ameaças integradas em um único pacote. Estão incluídos: OpenDNS Investigate, VirusTotal e ShadowServer. |
| Threat-Intelligence-Hunter | TIH é uma ferramenta de inteligência que ajuda você a procurar IOCs em vários feeds de segurança disponíveis abertamente e algumas APIs bem conhecidas. A ideia por trás da ferramenta é facilitar a pesquisa e o armazenamento de IOCs frequentemente adicionados para criar seu próprio banco de dados local de indicadores. |
| teste tiq | A ferramenta de teste de quociente de inteligência de ameaças (TIQ) fornece visualização e análise estatística de feeds de TI. |
| YETI | YETI é uma implementação de prova de conceito de TAXII que oferece suporte aos serviços de caixa de entrada, pesquisa e descoberta definidos pela especificação de serviços TAXII. |
Formatos:
Formatos padronizados para compartilhamento de Inteligência de Ameaças (principalmente IOCs).
| CAPEC | O Common Attack Pattern Enumeration and Classification (CAPEC) é um dicionário abrangente e uma taxonomia de classificação de ataques conhecidos que podem ser usados por analistas, desenvolvedores, testadores e educadores para aprimorar o entendimento da comunidade e aprimorar as defesas. |
| CybOX | A linguagem Cyber Observable eXpression (CybOX) fornece uma estrutura comum para representar cyber observáveis em e entre as áreas operacionais de segurança cibernética corporativa que melhora a consistência, eficiência e interoperabilidade de ferramentas e processos implantados, bem como aumenta a consciência situacional geral, permitindo o potencial para compartilhamento automatizado detalhado, mapeamento, detecção e heurística de análise. |
| IODEF (RFC5070) | O formato de troca de descrição de objeto de incidente (IODEF) define uma representação de dados que fornece uma estrutura para compartilhar informações comumente trocadas por equipes de resposta a incidentes de segurança de computador (CSIRTs) sobre incidentes de segurança de computador. |
| IDMEF (RFC4765) | Experimental - O objetivo do Intrusion Detection Message Exchange Format (IDMEF) é definir formatos de dados e procedimentos de troca para compartilhar informações de interesse para detecção de intrusão e sistemas de resposta e para os sistemas de gerenciamento que podem precisar interagir com eles. |
| MAEC | Os projetos de Malware Attribute Enumeration and Characterization (MAEC) visam criar e fornecer uma linguagem padronizada para compartilhar informações estruturadas sobre malware com base em atributos como comportamentos, artefatos e padrões de ataque. |
| OpenC2 | Comitê Técnico OASIS Open Command and Control (OpenC2). O OpenC2 TC baseará seus esforços nos artefatos gerados pelo OpenC2 Forum. Antes da criação deste TC e especificação, o OpenC2 Forum era uma comunidade de partes interessadas em segurança cibernética facilitada pela National Security Agency (NSA). O OpenC2 TC foi contratado para elaborar documentos, especificações, léxicos ou outros artefatos para atender às necessidades de comando e controle de segurança cibernética de maneira padronizada. |
| STIX 2.0 | A linguagem Structured Threat Information eXpression (STIX) é uma construção padronizada para representar informações sobre ameaças cibernéticas. A linguagem STIX pretende transmitir toda a gama de informações de ameaças cibernéticas em potencial e se esforça para ser totalmente expressiva, flexível, extensível e automatizável. STIX não permite apenas campos agnósticos de ferramenta, mas também fornece os chamados mecanismos de teste que fornecem meios para incorporar elementos específicos de ferramenta, incluindo OpenIOC, Yara e Snort. STIX 1.x foi arquivado aqui . |
| TAXII | O padrão Trusted Automated eXchange of Indicator Information (TAXII) define um conjunto de serviços e trocas de mensagens que, quando implementadas, permitem o compartilhamento de informações de ameaças cibernéticas acionáveis entre organizações e produtos / serviços. TAXII define conceitos, protocolos e trocas de mensagens para trocar informações de ameaças cibernéticas para a detecção, prevenção e mitigação de ameaças cibernéticas. |
| VERIS | O Vocabulário para Gravação de Eventos e Compartilhamento de Incidentes (VERIS) é um conjunto de métricas projetado para fornecer uma linguagem comum para descrever incidentes de segurança de uma maneira estruturada e repetível. VERIS é uma resposta a um dos desafios mais críticos e persistentes do setor de segurança - a falta de informações de qualidade. Além de fornecer um formato estruturado, a VERIS também coleta dados da comunidade para relatar violações no Relatório de investigações de violação de dados da Verizon ( DBIR ) e publica esse banco de dados online em VCDB.org . |
Estruturas e plataformas:
Frameworks, plataformas e serviços para coletar, analisar, criar e compartilhar Threat Intelligence.
| AbuseHelper | AbuseHelper é uma estrutura de código aberto para receber e redistribuir feeds de abuso e informações sobre ameaças. |
| AbuseIO | Um kit de ferramentas para receber, processar, correlacionar e notificar os usuários finais sobre relatórios de abuso, consumindo assim feeds de inteligência de ameaças. |
| AIS | A capacidade gratuita de Compartilhamento Automático de Indicadores (AIS) do Departamento de Segurança Interna (DHS) permite a troca de indicadores de ameaças cibernéticas entre o Governo Federal e o setor privado na velocidade da máquina. Os indicadores de ameaça são informações como endereços IP maliciosos ou o endereço do remetente de um e-mail de phishing (embora também possam ser muito mais complicados). |
| Barncat | O Fidelis Cybersecurity oferece acesso gratuito ao Barncat após o registro. A plataforma deve ser usada por CERTs, pesquisadores, governos, ISPs e outras organizações de grande porte. O banco de dados contém várias definições de configuração usadas por invasores. |
| Vingador barbudo | A maneira mais rápida de consumir inteligência sobre ameaças. Sucessor do CIF. |
| Rede Blueliv Threat Exchange | Permite que os participantes compartilhem indicadores de ameaças com a comunidade. |
| Córtex | O Cortex permite que os observáveis, como IPs, endereços de e-mail, URLs, nomes de domínio, arquivos ou hashes, sejam analisados um a um ou em modo em massa usando uma única interface da web. A interface da web atua como um frontend para vários analisadores, eliminando a necessidade de integrá-los durante a análise. Os analistas também podem usar a API REST do Cortex para automatizar partes de suas análises. |
| CRITOS | CRITS é uma plataforma que fornece aos analistas os meios para conduzir pesquisas colaborativas sobre malware e ameaças. Ele se conecta a um repositório de dados de inteligência centralizado, mas também pode ser usado como uma instância privada. |
| CIF | O Collective Intelligence Framework (CIF) permite combinar informações de ameaças maliciosas conhecidas de muitas fontes e usar essas informações para IR, detecção e mitigação. Código disponível no GitHub . |
| Plataforma EclecticIQ | A Plataforma EclecticIQ é uma Plataforma de Inteligência de Ameaças (TIP) baseada em STIX / TAXII que capacita os analistas de ameaças a realizar investigações mais rápidas, melhores e mais profundas, enquanto dissemina inteligência na velocidade da máquina. |
| IntelMQ | IntelMQ é uma solução para CERTs para coletar e processar feeds de segurança, pastebins, tweets usando um protocolo de fila de mensagens. É uma iniciativa dirigida pela comunidade chamada IHAP (Incident Handling Automation Project), que foi concebida conceitualmente por CERTs europeus durante vários eventos InfoSec. Seu principal objetivo é fornecer aos responsáveis pela resposta a incidentes uma maneira fácil de coletar e processar inteligência sobre ameaças, melhorando assim os processos de tratamento de incidentes dos CERTs. |
| Portal de inteligência de ameaças da Kaspersky | Um site que fornece uma base de conhecimento que descreve ameaças cibernéticas, objetos legítimos e seus relacionamentos, reunidos em um único serviço da web. A assinatura do Portal de Inteligência de Ameaças da Kaspersky Lab fornece um único ponto de entrada para quatro serviços complementares: Kaspersky Threat Data Feeds, Relatório de Inteligência de Ameaças, Kaspersky Threat Lookup e Kaspersky Research Sandbox, todos disponíveis em formatos legíveis por humanos e por máquina. |
| Malstrom | O Malstrom pretende ser um repositório para rastreamento de ameaças e artefatos forenses, mas também armazena regras e notas YARA para investigação. Nota: o projeto Github foi arquivado (nenhuma nova contribuição aceita). |
| ManaTI | O projeto ManaTI auxilia o analista de ameaças empregando técnicas de aprendizado de máquina que encontram novos relacionamentos e inferências automaticamente. |
| LOUVA A DEUS | A estrutura de gerenciamento de inteligência de ameaças cibernéticas baseada em modelo (MANTIS) oferece suporte ao gerenciamento de inteligência de ameaças cibernéticas expressa em várias linguagens padrão, como STIX e CybOX. No entanto, * não * está pronto para produção em grande escala. |
| Megatron | Megatron é uma ferramenta implementada pela CERT-SE que coleta e analisa IPs ruins, pode ser usada para calcular estatísticas, converter e analisar arquivos de log e no tratamento de abusos e incidentes. |
| MineMeld | Uma estrutura de processamento extensível de Threat Intelligence criou a Palo Alto Networks. Ele pode ser usado para manipular listas de indicadores e transformá-los e / ou agregá-los para consumo por infraestrutura de fiscalização de terceiros. |
| MISP | A Malware Information Sharing Platform (MISP) é uma solução de software de código aberto para coletar, armazenar, distribuir e compartilhar indicadores de segurança cibernética e análise de malware. |
| n6 | n6 (Network Security Incident eXchange) é um sistema para coletar, gerenciar e distribuir informações de segurança em grande escala. A distribuição é realizada por meio de uma API REST simples e de uma interface web que usuários autorizados podem utilizar para receber diversos tipos de dados, principalmente informações sobre ameaças e incidentes em suas redes. É desenvolvido pela CERT Polska . |
| OpenCTI | OpenCTI, a plataforma Open Cyber Threat Intelligence, permite que as organizações gerenciem seu conhecimento e observáveis de inteligência contra ameaças cibernéticas. Seu objetivo é estruturar, armazenar, organizar e visualizar informações técnicas e não técnicas sobre ameaças cibernéticas. Os dados são estruturados em torno de um esquema de conhecimento baseado nos padrões STIX2. OpenCTI pode ser integrado com outras ferramentas e plataformas, incluindo MISP, TheHive e MITER ATT & CK, ao |
| OpenIOC | OpenIOC é uma estrutura aberta para compartilhar inteligência sobre ameaças. Ele é projetado para trocar informações sobre ameaças interna e externamente em um formato digerível por máquina. |
| OpenTAXII | OpenTAXII é uma implementação Python robusta de TAXII Services que oferece um rico conjunto de recursos e uma API Pythonic amigável construída em cima de um aplicativo bem projetado. |
| OSTrICa | Uma estrutura orientada a plug-in de código aberto para coletar e visualizar informações de Threat Intelligence. |
| OTX - Open Threat Exchange | O AlienVault Open Threat Exchange (OTX) fornece acesso aberto a uma comunidade global de pesquisadores de ameaças e profissionais de segurança. Ele fornece dados de ameaças gerados pela comunidade, permite pesquisas colaborativas e automatiza o processo de atualização de sua infraestrutura de segurança com dados de ameaças de qualquer fonte. |
| Open Threat Partner eXchange | O Open Threat Partner eXchange (OpenTPX) consiste em um formato de código aberto e ferramentas para troca de inteligência de ameaças legível por máquina e dados de operações de segurança de rede. É um formato baseado em JSON que permite o compartilhamento de dados entre sistemas conectados. |
| PassiveTotal | A plataforma PassiveTotal oferecida pela RiskIQ é uma plataforma de análise de ameaças que fornece aos analistas o máximo de dados possível para prevenir ataques antes que eles aconteçam. Vários tipos de soluções são oferecidos, bem como integrações (APIs) com outros sistemas. |
| Pulsada | Pulsedive é uma plataforma de inteligência de ameaças da comunidade gratuita que está consumindo feeds de código aberto, enriquecendo os IOCs e os executando por meio de um algoritmo de pontuação de risco para melhorar a qualidade dos dados. Ele permite que os usuários enviem, pesquisem, correlacionem e atualizem IOCs; lista os “fatores de risco” que explicam por que os IOCs apresentam maior risco; e fornece uma visão de alto nível das ameaças e atividades de ameaças. |
| Futuro registrado | O Recorded Future é um produto SaaS premium que unifica automaticamente a inteligência de ameaças de fontes abertas, fechadas e técnicas em uma única solução. Sua tecnologia usa processamento de linguagem natural (PNL) e aprendizado de máquina para fornecer inteligência contra ameaças em tempo real - tornando o Recorded Future uma escolha popular para equipes de segurança de TI. |
| Scumblr | Scumblr é um aplicativo da web que permite realizar sincronizações periódicas de fontes de dados (como repositórios Github e URLs) e realizar análises (como análises estáticas, verificações dinâmicas e coleta de metadados) nos resultados identificados. O Scumblr ajuda você a otimizar a segurança proativa por meio de uma estrutura de automação inteligente para ajudá-lo a identificar, rastrear e resolver problemas de segurança com mais rapidez. |
| Soltra | Soltra oferece suporte a um modelo de defesa da comunidade que é altamente interoperável e extensível. Ele é construído com os padrões da indústria com suporte imediato, incluindo STIX (até 2.1) e TAXII. |
| STAXX (anômalo) | O Anomali STAXX ™ oferece uma maneira fácil e gratuita de assinar qualquer feed STIX / TAXII. Simplesmente baixe o cliente STAXX, configure suas fontes de dados e STAXX cuidará do resto. |
| stoQ | stoQ é uma estrutura que permite aos analistas cibernéticos organizar e automatizar tarefas repetitivas baseadas em dados. Possui plug-ins para muitos outros sistemas interagirem. Um caso de uso é a extração de IOCs de documentos, um exemplo do qual é mostrado aqui , mas também pode ser usado para desofuscação e decodificação de conteúdo e varredura automatizada com YARA, por exemplo. |
| TARDIS | O Sistema de Análise, Reconhecimento e Inteligência de Dados de Ameaças (TARDIS) é uma estrutura de código aberto para realizar pesquisas históricas usando assinaturas de ataque. |
| ThreatConnect | ThreatConnect é uma plataforma com recursos de inteligência, análise e orquestração de ameaças. Ele foi projetado para ajudá-lo a coletar dados, produzir inteligência, compartilhá-la com outras pessoas e tomar medidas a respeito. |
| ThreatCrowd | ThreatCrowd é um sistema para encontrar e pesquisar artefatos relacionados a ameaças cibernéticas. |
| ThreatPipes | Fique dois passos à frente de seus adversários. Tenha uma visão completa de como eles irão explorá-lo. ThreatPipes é uma ferramenta de reconhecimento que consulta automaticamente centenas de fontes de dados para reunir informações sobre endereços IP, nomes de domínio, endereços de e-mail, nomes e muito mais. Você simplesmente especifica o alvo que deseja investigar, escolhe quais módulos habilitar e, em seguida, o ThreatPipes coletará dados para construir uma compreensão de todas as entidades e como elas se relacionam entre si. |
| ThreatExchange | O Facebook criou o ThreatExchange para que as organizações participantes possam compartilhar dados de ameaças usando uma API conveniente, estruturada e fácil de usar que fornece controles de privacidade para permitir o compartilhamento apenas com os grupos desejados. Este projeto ainda está em beta . O código de referência pode ser encontrado no GitHub . |
| VirusBay | O VirusBay é uma plataforma de colaboração baseada na web que conecta profissionais do centro de operações de segurança (SOC) com pesquisadores de malware relevantes. |
| ameaçadora.io | O novo e aprimorado ameaçanote.io - Uma ferramenta para analistas e equipes de CTI para gerenciar os requisitos de inteligência, relatórios e processos de CTI em uma plataforma completa |
| XFE - X-Force Exchange | O X-Force Exchange (XFE) da IBM XFE é um produto SaaS gratuito que você pode usar para pesquisar informações de inteligência de ameaças, coletar suas descobertas e compartilhar seus insights com outros membros da comunidade XFE. |
| Yeti | O repositório de inteligência de ameaças aberto, distribuído, amigável para máquinas e analistas. Feito por e para respondentes de incidentes. |
Origens:
A maioria dos recursos listados abaixo fornece listas e / ou APIs para obter (espero) informações atualizadas com relação às ameaças. Alguns consideram essas fontes como inteligência de ameaças, mas as opiniões divergem. Uma certa quantidade de análises (específicas do domínio ou do negócio) é necessária para criar a verdadeira inteligência contra ameaças.
| AbuseIPDB | AbuseIPDB é um projeto dedicado a ajudar a combater a disseminação de hackers, spammers e atividades abusivas na Internet. Sua missão é ajudar a tornar a Web mais segura, fornecendo uma lista negra central para webmasters, administradores de sistema e outras partes interessadas para relatar e encontrar endereços IP que foram associados a atividades maliciosas online. |
| Alexa Top 1 milhão de sites | Os principais 1 milhão de sites da Amazon (Alexa). Nunca use isso como uma lista de permissões . |
| Apility.io | Apility.io é uma ferramenta de pesquisa de lista negra de APIs anti-abuso Minimal e Simples. Ajuda os usuários a saber imediatamente se um IP, domínio ou e-mail está na lista negra. Ele extrai automaticamente todas as informações em tempo real de várias fontes. |
| Grupos e operações APT | Uma planilha contendo informações e inteligência sobre grupos APT, operações e táticas. |
| AutoShun | Um serviço público que oferece no máximo 2.000 IPs maliciosos e mais alguns recursos. |
| Lista de proibição de IP de defesa binária | Alimentação de Inteligência de Ameaça de Artilharia de Sistemas de Defesa Binária e Alimentação de Lista de Banimento de IP. |
| Classificação BGP | Classificação dos ASNs com o conteúdo mais malicioso. |
| Rastreador de botnet | Rastreia vários botnets ativos. |
| BOTVRIJ.EU | O Botvrij.eu fornece diferentes conjuntos de IOCs de código aberto que você pode usar em seus dispositivos de segurança para detectar possíveis atividades maliciosas. |
| BruteForceBlocker | BruteForceBlocker é um script Perl que monitora os logs de sshd de um servidor e identifica ataques de força bruta, que então usa para configurar automaticamente as regras de bloqueio de firewall e enviar esses IPs de volta ao site do projeto, http://danger.rulez.sk/projects/bruteforceblocker /blist.php . |
| C&C Tracker | Um feed de endereços IP C&C conhecidos, ativos e não afundados, da Bambenek Consulting. |
| CertStream | Fluxo de atualização de log de transparência de certificado em tempo real. Veja os certificados SSL conforme eles são emitidos em tempo real. |
| Certificados de malware do fórum CCSS | A seguir está uma lista de certificados digitais que foram relatados pelo fórum como possivelmente associados a malware para várias autoridades de certificação. Essas informações têm como objetivo ajudar a impedir que as empresas usem certificados digitais para adicionar legitimidade ao malware e encorajar a revogação imediata de tais certificados. |
| Lista do Exército CI | Um subconjunto da lista comercial de pontuação CINS focada em IPs mal avaliados que não estão atualmente presentes em outras listas de ameaças. |
| Cisco Umbrella | Provável Whitelist do top 1 milhão de sites resolvidos pela Cisco Umbrella (era OpenDNS). |
| Critical Stack Intel | A inteligência de ameaças gratuita analisada e agregada pelo Critical Stack está pronta para uso em qualquer sistema de produção Bro. Você pode especificar quais feeds você confia e deseja ingerir. Em breve ficará indisponível e poderá estar disponível em https://developer.capitalone.com/resources/open-source . |
| Feeds de inteligência gratuitos do Cyber Cure | O Cyber Cure oferece feeds gratuitos de inteligência contra ameaças cibernéticas com listas de endereços IP atualmente infectados e ataques na Internet. Há uma lista de URLs usados por malware e uma lista de arquivos hash de malware conhecido que está se espalhando no momento. CyberCure está usando sensores para coletar inteligência com uma taxa de falsos positivos muito baixa. A documentação detalhada também está disponível. |
| DataPlane.org | DataPlane.org é um recurso comunitário de dados, feeds e medição da Internet para operadoras, por operadoras. Oferecemos serviço confiável e confiável sem nenhum custo. |
| DigitalSide Threat-Intel | Contém conjuntos de indicadores de inteligência contra ameaças cibernéticas de código aberto, principalmente com base na análise de malware e URLs, IPs e domínios comprometidos. O objetivo deste projeto é desenvolver e testar novas maneiras de caçar, analisar, coletar e compartilhar IoCs relevantes a serem usados por SOC / CSIRT / CERT / indivíduos com o mínimo de esforço. Os relatórios são compartilhados de três maneiras: STIX2 , CSV e MISP Feed . Os relatórios são publicados também no repositório Git do projeto . |
| Domínios de e-mail descartáveis | Uma coleção de domínios de e-mail anônimos ou descartáveis comumente usados para serviços de spam / abuso. |
| DNSTrails | Fonte de inteligência gratuita para informações de DNS atuais e históricas, informações de WHOIS, localização de outros sites associados a determinados IPs, conhecimento de subdomínio e tecnologias. Também está disponível uma API de inteligência de IP e domínio . |
| Regras de firewall para ameaças emergentes | Uma coleção de regras para vários tipos de firewalls, incluindo iptables, PF e PIX. |
| Regras de IDS de ameaças emergentes | Uma coleção de arquivos de regras Snort e Suricata que podem ser usados para alertar ou bloquear. |
| ExoneraTor | O serviço ExoneraTor mantém um banco de dados de endereços IP que fizeram parte da rede Tor. Ele responde à pergunta se havia um relé Tor em execução em um determinado endereço IP em uma determinada data. |
| Exploitalert | Lista dos exploits mais recentes lançados. |
| FastIntercept | O Intercept Security hospeda uma série de listas de reputação de IP gratuitas de sua rede honeypot global. |
| ZeuS Tracker | O Feodo Tracker abuse.ch rastreia o trojan Feodo. |
| Listas de IP FireHOL | Mais de 400 IPs disponíveis publicamente, analisados para documentar sua evolução, geo-mapeamento, idade dos IPs, política de retenção e sobreposições. O site se concentra em crimes cibernéticos (ataques, abuso, malware). |
| FraudGuard | O FraudGuard é um serviço desenvolvido para fornecer uma maneira fácil de validar o uso, coletando e analisando continuamente o tráfego da Internet em tempo real. |
| Ruído cinza | Gray Noise é um sistema que coleta e analisa dados em scanners de toda a Internet. Ele coleta dados em scanners benignos como o Shodan.io, bem como em agentes mal-intencionados como worms SSH e telnet. |
| Salve um TAXII | Hail a TAXII.com é um repositório de feeds de inteligência contra ameaças cibernéticas de código aberto no formato STIX. Eles oferecem vários feeds, incluindo alguns que já estão listados aqui em um formato diferente, como as regras de ameaças emergentes e feeds do PhishTank. |
| HoneyDB | HoneyDB fornece dados em tempo real da atividade do honeypot. Esses dados vêm de honeypots implantados na Internet usando o honeypot HoneyPy . Além disso, o HoneyDB fornece acesso à API para atividades coletadas do honeypot, que também incluem dados agregados de vários feeds do honeypot do Twitter. |
| Água gelada | 12.805 regras gratuitas da Yara criadas pelo Projeto Icewater. |
| Infosec - CERT-PA | Coleta e análise de amostras de malware , serviço de lista de bloqueio, banco de dados de vulnerabilidades e muito mais. Criado e gerenciado pelo CERT-PA. |
| InQuest Labs | Um portal de dados aberto, interativo e baseado em API para pesquisadores de segurança. Pesquise um grande corpus de amostras de arquivos, agregue informações de reputação e IOCs extraídos de fontes públicas. Aumente o desenvolvimento do YARA com ferramentas para gerar gatilhos, lidar com hexadecimal misto e gerar expressões regulares compatíveis com base64. |
| I-Blocklist | O I-Blocklist mantém vários tipos de listas contendo endereços IP pertencentes a várias categorias. Algumas dessas categorias principais incluem países, ISPs e organizações. Outras listas incluem ataques da Web, TOR, spyware e proxies. Muitos são gratuitos e estão disponíveis em vários formatos. |
| IPsum | IPsum é um feed de inteligência de ameaças baseado em mais de 30 listas diferentes de endereços IP suspeitos e / ou maliciosos disponíveis publicamente. Todas as listas são recuperadas e analisadas automaticamente diariamente (24h) e o resultado final é enviado para este repositório. A lista é composta de endereços IP junto com um número total de ocorrências de lista (negra) (para cada). Criado e administrado por Miroslav Stampar . |
| Kaspersky Threat Data Feeds | Atualize continuamente e informe sua empresa ou clientes sobre os riscos e implicações associadas às ameaças cibernéticas. Os dados em tempo real ajudam a mitigar ameaças de forma mais eficaz e a se defender contra ataques antes mesmo de eles serem lançados. Os feeds de dados de demonstração contêm conjuntos truncados de IoCs (até 1%) em comparação com os comerciais |
| Majestic Million | Provável Whitelist do top 1 milhão de sites, conforme classificado pelo Majestic. Os sites são ordenados pelo número de sub-redes de referência. Mais sobre o ranking pode ser encontrado em seu blog . |
| Malc0de DNS Sinkhole | Os arquivos neste link serão atualizados diariamente com domínios que foram identificados distribuindo malware durante os últimos 30 dias. Recolhido por malc0de. |
| Maldatabase | Maldatabase foi projetado para ajudar a ciência de dados de malware e feeds de inteligência de ameaças. Os dados fornecidos contêm boas informações sobre, entre outros campos, domínios contatados, lista de processos executados e arquivos descartados por cada amostra. Esses feeds permitem que você aprimore suas ferramentas de monitoramento e segurança. Serviços gratuitos estão disponíveis para pesquisadores e estudantes de segurança. |
| Malpedia | O objetivo principal do Malpedia é fornecer um recurso para identificação rápida e contexto acionável ao investigar malware. A abertura a contribuições com curadoria deve garantir um nível de qualidade responsável, a fim de promover pesquisas significativas e reproduzíveis. |
| MalShare.com | O Projeto MalShare é um repositório público de malware que fornece aos pesquisadores acesso gratuito às amostras. |
| Maltiverse | O Projeto Maltiverse é um grande e enriquecido banco de dados IoC onde é possível fazer consultas complexas e agregações para investigar sobre campanhas de malware e suas infraestruturas. Ele também tem um ótimo serviço de consulta em massa de IoC. |
| Lista de domínios de malware | Uma lista pesquisável de domínios maliciosos que também executa pesquisas reversas e lista registrantes, com foco em phishing, cavalos de Troia e kits de exploração. |
| Malware-Traffic-Analysis.net | Este blog se concentra no tráfego de rede relacionado a infecções por malware. Contém exercícios de análise de tráfego, tutoriais, amostras de malware, arquivos pcap de tráfego de rede malicioso e postagens de blog técnicas com observações. |
| MalwareDomains.com | O projeto DNS-BH cria e mantém uma lista de domínios que são usados para propagar malware e spyware. Eles podem ser usados para detecção e prevenção (afundamento de solicitações de DNS). |
| MetaDefender Cloud | O MetaDefender Cloud Threat Intelligence Feeds contém novas assinaturas hash de malware, incluindo MD5, SHA1 e SHA256. Esses novos hashes maliciosos foram detectados pelo MetaDefender Cloud nas últimas 24 horas. Os feeds são atualizados diariamente com malware recém-detectado e relatado para fornecer inteligência de ameaças acionável e oportuna. |
| Projeto Netlab OpenData | O projeto Netlab OpenData foi apresentado ao público pela primeira vez no ISC '2016 em 16 de agosto de 2016. Atualmente, fornecemos vários feeds de dados, incluindo DGA, EK, MalCon, Mirai C2, Mirai-Scanner, Hajime-Scanner e DRDoS Reflector. |
| NoThink! | SNMP, SSH, Telnet na lista negra de IPs de Honeypots de Matteo Cantoni |
| Serviços NormShield | Os serviços NormShield fornecem milhares de informações de domínio (incluindo informações de whois) de onde podem vir ataques de phishing em potencial. Serviços de violação e lista negra também disponíveis. A inscrição nos serviços públicos de monitoramento contínuo é gratuita. |
| Ameaças NovaSense | NovaSense é o centro de inteligência de ameaças Snapt e fornece percepções e ferramentas para proteção preventiva contra ameaças e mitigação de ataques. NovaSense protege clientes de todos os tamanhos de invasores, abuso, botnets, ataques DoS e muito mais. |
| Feeds OpenPhish | OpenPhish recebe URLs de múltiplos streams e os analisa usando seus algoritmos proprietários de detecção de phishing. Existem ofertas gratuitas e comerciais disponíveis. |
| PhishTank | PhishTank fornece uma lista de URLs suspeitos de phishing. Seus dados vêm de relatórios humanos, mas também ingerem feeds externos sempre que possível. É um serviço gratuito, mas às vezes é necessário registrar-se para obter uma chave de API. |
| Recuperar feed Intel da ameaça | A cura [RES] é um projeto independente de inteligência de ameaças executado pela Fruxlabs Crack Team para aprimorar sua compreensão da arquitetura subjacente de sistemas distribuídos, a natureza da inteligência de ameaças e como coletar, armazenar, consumir e distribuir inteligência de ameaças de maneira eficiente. Os feeds são gerados a cada 6 horas. |
| Rutgers na lista negra de IPs | A lista de IPs de invasores de força bruta SSH é criada a partir de uma combinação de IPs observados localmente e IPs com 2 horas de idade registrados em badip.com e blocklist.de |
| SANS ICS Suspicious Domains | As Listas de Ameaças de Domínios Suspeitos por SANS ICS rastreiam domínios suspeitos. Ele oferece 3 listas categorizadas como alta , média ou baixa sensibilidade, onde a lista de alta sensibilidade tem menos falsos positivos, enquanto a lista de baixa sensibilidade tem mais falsos positivos. Também existe uma lista de permissões aprovada de domínios. Finalmente, há uma lista de bloqueio de IP sugerida pelo DShield . |
| base de assinatura | Um banco de dados de assinaturas usado em outras ferramentas pelo Neo23x0. |
| O projeto Spamhaus | O Projeto Spamhaus contém várias listas de ameaças associadas a atividades de spam e malware. |
| SophosLabs Intelix | SophosLabs Intelix é a plataforma de inteligência de ameaças que capacita os produtos e parceiros da Sophos. Você pode acessar inteligência com base em hash de arquivo, url etc., bem como enviar amostras para análise. Por meio das APIs REST, você pode adicionar essa inteligência de ameaças aos seus sistemas de maneira fácil e rápida. |
| SSL Blacklist | SSL Blacklist (SSLBL) é um projeto mantido por abuse.ch. O objetivo é fornecer uma lista de certificados SSL “ruins” identificados por abuse.ch para serem associados a atividades de malware ou botnet. SSLBL depende de impressões digitais SHA1 de certificados SSL maliciosos e oferece várias listas negras |
| Statvoo 1 milhão de sites principais | Provável Whitelist do top 1 milhão de sites, conforme classificado por Statvoo. |
| Strongarm, da Percipient Networks | Strongarm é um buraco negro de DNS que atua em indicadores de comprometimento, bloqueando o comando e controle do malware. Strongarm agrega indicadores gratuitos, integra-se a feeds comerciais, utiliza feeds IOC da Percipient e opera resolvedores DNS e APIs para você usar para proteger sua rede e negócios. Strongarm é gratuito para uso pessoal. |
| ameaçafeeds.io | AmeaçaFeeds.io lista fontes e feeds de inteligência de ameaças de código aberto e gratuitos e fornece links diretos para download e resumos ao vivo. |
| Blogs e relatórios técnicos, por ThreatConnect | Esta fonte está sendo preenchida com conteúdo de mais de 90 fontes abertas, blogs de segurança. IOCs ( Indicadores de Compromisso ) são analisados fora de cada blog e o conteúdo do blog é formatado em markdown. |
| ThreatMiner | O ThreatMiner foi criado para liberar os analistas da coleta de dados e fornecer-lhes um portal no qual eles podem realizar suas tarefas, desde a leitura de relatórios até a rotação e enriquecimento de dados. A ênfase do ThreatMiner não está apenas nos indicadores de comprometimento (IoC), mas também em fornecer aos analistas informações contextuais relacionadas ao IoC que eles estão examinando. |
| Endereços de e-mail de malware WSTNPHX | Endereços de e-mail usados por malware coletados por VVestron Phoronix (WSTNPHX) |
| UnderAttack.today | UnderAttack é uma plataforma de inteligência gratuita, que compartilha IPs e informações sobre eventos suspeitos e ataques. O registro é gratuito. |
| URLhaus | URLhaus é um projeto do abuse.ch com o objetivo de compartilhar URLs maliciosos que estão sendo usados para distribuição de malware. |
| VirusShare | O VirusShare.com é um repositório de amostras de malware para fornecer aos pesquisadores de segurança, responsáveis pela resposta a incidentes, analistas forenses e aos morbidamente curiosos acesso a amostras de código malicioso. O acesso ao site é concedido apenas por meio de convite. |
| Yara-Rules | Um repositório de código aberto com diferentes assinaturas Yara que são compiladas, classificadas e mantidas o mais atualizado possível. |
| ZeuS Tracker | O Zeus Tracker da abuse.ch rastreia os servidores ZeuS Command & Control (hosts) em todo o mundo e fornece a você um domínio e uma lista de bloqueio de IP. |
| 1st Dual Stack Threat Feed de MrLooquer | Mrlooquer criou o primeiro feed de ameaças focado em sistemas com pilha dupla. Como o protocolo IPv6 passou a fazer parte das comunicações de malware e fraude, é necessário detectar e mitigar as ameaças em ambos os protocolos (IPv4 e IPv6). |
Créditos: Herman Slatman .
Comentários
Postar um comentário