威胁情报资源整合——awesome-threat-intelligence

awesome-threat-intelligence是一个托管在github上的开源项目,收集各种与威胁情报相关的资源。

整个项目分为5个部分:

Sources

Sources部分收集了各种开源的威胁情报数据提供者,包括Alexa Top 1 Million sites,C&C Tracker,Cymon,Hail a TAXII等。提供了IP、域名、DNS、URL,甚至结构化后的STIX、OpenIOC等等数据,并且很多数据源还在持续更新。但是这些开源威胁情报都显得纬度比较单一,难以构建攻击链。

Formats

Formats介绍了威胁情报的共享标准,在众多标准中,STIX已经成为了大家比较认可的事实标准。

Frameworks and Platforms

Frameworks and Platforms介绍了用于创建、收集、分析、分享威胁情报的各种框架。如比较知名的AlienVault的OTX,开源的MISP等。框架只是骨骼,还需要数据输送血液。很多框架都支持导入开源威胁情报数据,也就是第一部分提到的那些情报提供者。当然,开源情报的关联性较差,导入框架后还不能发挥它们关联分析的威力,所以使用自己创建或者使用partner分享的威胁情报是个更好的选择。

Tools

Tools介绍了一些小工具,包括一些ioc的编辑器:IOC Editorioc_writer,TAXII协议的python封装,大名鼎鼎的Cuckoo Sandbox等。。

Research, Standards & Books

最后一部分是一些关于威胁情报的论文,和APT攻击的whitepapers。