脅威インテリジェンスツールは、ネットワークやアプリケーションの脆弱性をテストするために、セキュリティ業界でより頻繁に利用されています。
これは、組織またはその資産の安全を脅かす現在および潜在的な攻撃に関する情報の収集と分析に役立ちます。
ここでは、あらゆる企業環境におけるペネトレーションテスト運用を網羅する、包括的な脅威インテリジェンスツールのリストを見つけることができます。
| Alexaのトップ100万サイト | Amazon(Alexa)によるトップ100万サイトのホワイトリスト(推定)。 |
| Apility.io | Botvrij.euは、セキュリティ機器で利用して悪意のある可能性のある活動を検知できる、さまざまなオープンソースIOCセットを提供します。 |
| APTグループとオペレーション | APTグループ、オペレーション、戦術に関する情報とインテリジェンスを含むスプレッドシート。 |
| AutoShun | 最大2000件の悪意あるIPと、いくつかの追加リソースを提供する公開サービス。 |
| BGPランキング | 最も悪意あるコンテンツを保有するASNのランキング。 |
| Botnet Tracker | 複数の稼働中ボットネットを追跡します。 |
| BOTVRIJ.EU | リアルタイムの証明書透明性ログ更新ストリーム。SSL証明書が発行される様子をリアルタイムで確認できます。 |
| BruteForceBlocker | リアルタイムの証明書透明性ログ更新ストリーム。SSL証明書が発行される様子をリアルタイムで確認できます。 |
| C&C Tracker | Bambenek Consultingによる、既知で稼働中かつシンクホールされていないC&C IPアドレスのフィード。 |
| CertStream | C1fAppは脅威フィード集約アプリケーションで、オープンソースとプライベートの両方を単一フィードとして提供します。統計ダッシュボードと検索用のオープンAPIを提供し、数年にわたり稼働しています。検索は履歴データに対して行われます。 |
| CCSS Forum Malware Certificates | C1fAppは脅威フィード集約アプリケーションで、オープンソースとプライベートの両方を単一フィードとして提供します。統計ダッシュボードと検索用のオープンAPIを提供し、数年にわたり稼働しています。検索は履歴データに対して行われます。 |
| CI Army List | C1fAppは脅威フィード集約アプリケーションで、オープンソースとプライベートの両方を単一フィードとして提供します。統計ダッシュボードと検索用のオープンAPIを提供し、数年にわたり稼働しています。検索は履歴データに対して行われます。 |
| Cisco Umbrella | tables、PF、PIXを含む複数種類のファイアウォール向けルールのコレクション。 |
| Critical Stack Intel | Critical Stackが解析・集約した無料の脅威インテリジェンスは、あらゆるBro本番システムですぐに利用できます。信頼して取り込みたいフィードを指定できます。 |
| C1fApp | 現在および過去のDNS情報、WHOIS情報、特定IPに関連する他サイトの発見、サブドメイン情報、技術情報のための無料インテリジェンスソース。IPおよびドメインのインテリジェンスAPIも利用可能です。 |
| Cymon | Cymonは、履歴付きで複数ソースのインジケータを集約するため、複数の脅威フィードに対して単一のインターフェースを提供します。データベース検索用APIと見栄えの良いWebインターフェースも提供します。 脅威インテリジェンスツール。 |
| Disposable Email Domains | tables、PF、PIXを含む複数種類のファイアウォール向けルールのコレクション。 |
| DNSTrails | 現在および過去のDNS情報、WHOIS情報、特定IPに関連する他サイトの発見、サブドメイン情報、技術情報のための無料インテリジェンスソース。IPおよびドメインのインテリジェンスAPIも利用可能です。 |
| Emerging Threats Firewall Rules | ExoneraTorサービスは、Torネットワークの一部であったIPアドレスのデータベースを維持しています。特定のIPアドレスで特定の日にTorリレーが稼働していたかどうかという問いに答えます。 |
| Emerging Threats IDS Rules | アラートやブロックに使用できる、SnortおよびSuricataの ルール ファイルのコレクション。 |
| ExoneraTor | I-Blocklistは、さまざまなカテゴリに属するIPアドレスを含む複数種類のリストを維持しています。主なカテゴリには国、ISP、組織などがあります。その他のリストにはWeb攻撃、TOR、スパイウェア、プロキシなどが含まれます。多くは無料で利用でき、さまざまな形式で提供されています。 |
| Exploitalert | 最新の公開エクスプロイトの一覧。 |
| ZeuS Tracker | Feodo Tracker abuse.ch はFeodoトロイの木馬を追跡します。 |
| FireHOL IP Lists | 公開されている400以上のIPフィードを分析し、その変遷、地理マップ、IPの経過年数、保持ポリシー、重複を文書化しました。本サイトはサイバー犯罪(攻撃、悪用、マルウェア)に焦点を当てています。 |
| FraudGuard | tables、PF、PIXを含む複数種類のファイアウォール向けルールのコレクション。 |
| Grey Noise | 公開されている400以上のIPフィードを分析し、その変遷、地理マップ、IPの経過年数、保持ポリシー、重複を文書化しました。本サイトはサイバー犯罪(攻撃、悪用、マルウェア)に焦点を当てています。 |
| Hail a TAXII | Minotaur Projectは、NovCon Solutions(novcon.net)のチームによる継続的な研究プロジェクトです。セキュリティ専門家、研究者、愛好家が新たな脅威を発見し、緩和策を議論するためのハブとして構築されています。サードパーティのオープンソースソフトウェア、ローカルデータセット、新しい分析ツールなどを組み合わせたものです。 |
| HoneyDB | HoneyDBはハニーポット活動に関するリアルタイムデータを提供します。このデータは、 HoneyPy ハニーポットを用いてインターネット上に展開されたハニーポットから取得されます。さらにHoneyDBは、収集したハニーポット活動へのAPIアクセスも提供しており、さまざまなハニーポットのTwitterフィードから集約されたデータも含まれます。 |
| Icewater | http://icewater.io により作成された12,805件の無料Yaraルール |
| I-Blocklist | Majesticのランキングに基づくトップ100万ウェブサイトのホワイトリスト(推定)。サイトは参照サブネット数順に並んでいます。ランキングの詳細は同社の ブログ で確認できます。 |
| Majestic Million | NormShield Servicesは、潜在的なフィッシング攻撃の発信元となり得る数千のドメイン情報(whois情報を含む)を提供します。侵害およびブラックリストサービスも利用可能です。継続監視のための公開サービスには無料サインアップがあります。 |
| Malc0de DNS Sinkhole | このリンク内のファイルは、過去30日間にマルウェア配布に使用されたと特定されたドメインで毎日更新されます。malc0deにより収集。 脅威インテリジェンスツール。 |
| MalShare.com | MalShare Projectは、研究者にサンプルへの無料アクセスを提供する公開マルウェアリポジトリです。 |
| Malware Domain List | 悪性ドメインの検索可能なリストで、リバースルックアップや登録者の一覧も提供します。フィッシング、トロイの木馬、エクスプロイトキットに焦点を当てています。 |
| MalwareDomains.com | Matteo Cantoniのハニーポットから得られた、SNMP、SSH、TelnetのブラックリストIP。脅威インテリジェンスツール。 |
| Metadefender.com | Metadefender Cloud Threat Intelligence Feedsには、MD5、SHA1、SHA256を含む最新のマルウェアハッシュシグネチャ上位が含まれます。これらの新しい悪性ハッシュは、直近24時間以内にMetadefender Cloudによって検知されています。フィードは、新たに検知・報告されたマルウェアで毎日更新され、実行可能でタイムリーな脅威インテリジェンスを提供します。 |
| Minotaur | DNS-BHプロジェクトは、マルウェアやスパイウェアの拡散に使用されることが知られているドメインの一覧を作成・維持します。検知だけでなく予防(DNSリクエストのシンクホール)にも使用できます。 |
| Netlab OpenData Project | Netlab OpenDataプロジェクトは、2016年8月16日にISC 2016で初めて一般公開されました。現在、DGA、EK、MalCon、Mirai C2、Mirai-Scanner、Hajime-Scanner、DRDoS Reflectorなど、複数のデータフィードを提供しています。 |
| NoThink! | Netlab OpenDataプロジェクトは、2016年8月16日にISC’ 2016で初めて一般公開されました。現在、DGA、EK、MalCon、Mirai C2、Mirai-Scanner、Hajime-Scanner、DRDoS Reflectorなど、複数のデータフィードを提供しています。 |
| NormShield Services | Strongarmは、マルウェアのコマンド&コントロールをブロックすることで侵害指標に対処するDNSブラックホールです。Strongarmは無料のインジケータフィードを集約し、商用フィードと統合し、PercipientのIOCフィードを利用し、ネットワークとビジネスを保護するために利用できるDNSリゾルバとAPIを運用します。Strongarmは個人利用で無料です。 |
| OpenPhish Feeds | OpenPhishは複数ストリームからURLを受け取り、独自のフィッシング検知アルゴリズムで分析します。無料および商用の提供があります。 |
| PhishTank | PhishTankは、疑わしいフィッシングURLのリストを提供します。データは人手の報告に基づきますが、可能な場合は外部フィードも取り込みます。無料サービスですが、APIキーの登録が必要になることがあります。 |
| Ransomware Tracker | Spamhaus Projectには、スパムおよびマルウェア活動に関連する複数の脅威リストが含まれます。 |
| Rutgers Blacklisted IPs | SSH 総当たり攻撃者のIPリストは、ローカルで観測されたIPと、badip.comおよびblocklist.deに登録された2時間前のIPをマージして作成されています。 |
| SANS ICS Suspicious Domains | SANS ICS によるSuspicious Domains Threat Listsは、不審なドメインを追跡します。感度が 高 、 中 、 低 のいずれかに分類された3つのリストを提供しており、高感度リストは誤検知が少なく、低感度リストは誤検知が多くなります。ドメインの 承認済みホワイトリスト もあります。 最後に、 DShield による推奨 IPブロックリスト もあります。 |
| signature-base | Neo23x0による、他ツールで使用されるシグネチャのデータベース。 |
| The Spamhaus project | Statvooのランキングに基づくトップ100万ウェブサイトのホワイトリスト(推定)。脅威インテリジェンスツール。 |
| SSL Blacklist | SSL Blacklist(SSLBL)はabuse.chが維持するプロジェクトです。目的は、abuse.chによりマルウェアまたはボットネット活動に関連付けられた「悪い」SSL証明書のリストを提供することです。SSLBLは悪性SSL証明書のSHA1フィンガープリントに依存し、さまざまなブラックリストを提供します。 |
| Statvoo Top 1 Million Sites | さまざまなYaraシグネチャを収録したオープンソースリポジトリで、可能な限り最新の状態に保つためにコンパイル・分類されています。 |
| Strongarm, by Percipient Networks | Strongarmは、マルウェアのコマンド&コントロールをブロックすることで侵害指標に対処するDNSブラックホールです。Strongarmは無料のインジケータフィードを集約し、商用フィードと統合し、PercipientのIOCフィードを利用し、ネットワークとビジネスを保護するために利用できるDNSリゾルバとAPIを運用します。Strongarmは個人利用で無料です。 |
| Talos Aspis | Project Aspisは、Talosとホスティングプロバイダ間のクローズドな協業であり、主要な脅威アクターを特定し抑止することを目的としています。Talosは、ネットワークおよびシステムフォレンジック、リバースエンジニアリング、脅威インテリジェンスなどの専門知識、リソース、能力を、プロバイダに無償で提供します。 |
| Technical Blogs and Reports, by ThreatConnect | Webベースのマルウェアを共有・閲覧・分析するためのオンラインツール。Threatglassは、感染段階のスクリーンショットを表示してWebサイト感染を視覚的に閲覧できるほか、ホスト関係やパケットキャプチャなどのネットワーク特性を分析することもできます。 |
| Threatglass | ThreatMinerは、アナリストをデータ収集から解放し、レポートの閲覧からピボット、データエンリッチメントまでの作業を行えるポータルを提供するために作成されました。ThreatMinerの重点は、侵害指標(IoC)だけでなく、アナリストが見ているIoCに関連する文脈情報を提供することにもあります。 |
| ThreatMiner | ThreatMinerは、アナリストをデータ収集から解放し、レポートの閲覧からピボット、データエンリッチメントまでの作業を行えるポータルを提供するために作成されました。ThreatMinerの重点は侵害指標(IoC)だけでなく、アナリストが見ているIoCに関連する文脈情報を提供することにもあります。 |
| WSTNPHX Malware Email Addresses | VVestron Phoronix(WSTNPHX)により収集された、マルウェアで使用されるメールアドレス。 |
| VirusShare | VirusShare.comは、セキュリティ研究者、インシデント対応者、フォレンジックアナリスト、そして好奇心旺盛な人々に悪性コードのサンプルへのアクセスを提供するマルウェアサンプルのリポジトリです。サイトへのアクセスは招待制です。 |
| Yara-Rules | さまざまなYaraシグネチャを収録したオープンソースリポジトリで、コンパイル・分類され、可能な限り最新の状態に保たれています。 |
| ZeuS Tracker | abuse.ch によるZeuS Trackerは、世界中のZeuSコマンド&コントロールサーバ(ホスト)を追跡し、ドメインおよびIPのブロックリストを提供します。 |
脅威インテリジェンス(主にIOC)を共有するための標準化された形式。
| CAPEC | Common Attack Pattern Enumeration and Classification(CAPEC)は、既知の攻撃の包括的な辞書および分類タクソノミーであり、アナリスト、開発者、テスター、教育者がコミュニティの理解を深め、防御を強化するために利用できます。 |
| CybOX | Trusted Automated eXchange of Indicator Information(TAXII)標準は、実装されることで、組織および製品/サービスの境界を越えて実行可能なサイバー脅威情報を共有できるようにする一連のサービスとメッセージ交換を定義します。TAXIIは、サイバー脅威の検知・防止・緩和のためにサイバー脅威情報を交換する概念、プロトコル、メッセージ交換を定義します。 |
| IODEF (RFC5070) | Incident Object Description Exchange Format(IODEF)は、コンピュータセキュリティインシデント対応チーム(CSIRT)がコンピュータセキュリティインシデントについて一般に交換する情報を共有するための枠組みを提供するデータ表現を定義します。 |
| IDMEF (RFC4765) | 実験的 – Intrusion Detection Message Exchange Format(IDMEF)の目的は、侵入検知および対応システム、ならびにそれらと相互作用する必要がある管理システムにとって重要な情報を共有するためのデータ形式と交換手順を定義することです。 |
| MAEC | Malware Attribute Enumeration and Characterization(MAEC)プロジェクトは、振る舞い、アーティファクト、攻撃パターンなどの属性に基づくマルウェアに関する構造化情報を共有するための標準化言語を作成・提供することを目的としています。 |
| OpenC2 | OASIS Open Command and Control(OpenC2)技術委員会。OpenC2 TCはOpenC2 Forumが生成した成果物に基づいて取り組みを進めます。このTCと仕様が作成される以前、OpenC2 Forumは、国家安全保障局(NSA)により促進されたサイバーセキュリティ関係者のコミュニティでした。OpenC2 TCは、サイバーセキュリティのコマンド&コントロールのニーズを標準化された形で満たすため、文書、仕様、語彙集、その他の成果物を起草することを目的に設立されました。 |
| STIX 2.0 | Malware Attribute Enumeration and Characterization(MAEC)プロジェクトは、振る舞い、アーティファクト、攻撃パターンなどの属性に基づくマルウェアに関する構造化情報を共有するための標準化言語を作成・提供することを目的としています。 |
| TAXII | Trusted Automated eXchange of Indicator Information(TAXII)標準は、実装されることで、組織および製品/サービスの境界を越えて実行可能なサイバー脅威情報を共有できるようにする一連のサービスとメッセージ交換を定義します。TAXIIは、サイバー脅威の検知・防止・緩和のためにサイバー脅威情報を交換する概念、プロトコル、メッセージ交換を定義します。 |
| VERIS | Vocabulary for Event Recording and Incident Sharing(VERIS)は、セキュリティインシデントを構造化され再現可能な形で記述するための共通言語を提供するよう設計された指標セットです。VERISは、セキュリティ業界における最も重大かつ根強い課題の一つである「質の高い情報の不足」への対応です。構造化形式を提供するだけでなく、VERISはコミュニティからデータを収集し、VerizonのData Breach Investigations Report(DBIR)で侵害を報告し、このデータベースを VCDB.org でオンライン公開しています。 |
脅威インテリジェンスの収集、分析、作成、共有のためのフレームワーク、プラットフォーム、サービス。
| AbuseHelper | AbuseHelperは、アビューズフィードと脅威インテリジェンスを受信・再配布するためのオープンソースフレームワークです。 |
| AbuseIO | Interflowは、サイバーセキュリティに従事する専門家向けにMicrosoftが作成したセキュリティおよび脅威情報交換プラットフォームです。分散アーキテクチャを使用し、コミュニティ内およびコミュニティ間でセキュリティ/脅威情報を共有できるようにして、より強固なエコシステムを共同で実現します。複数の設定オプションを提供し、ユーザーは形成するコミュニティ、消費するデータフィード、共有相手を選択できます。Interflowは現在プライベートプレビューです。 |
| AIS | 国土安全保障省(DHS)の無料Automated Indicator Sharing(AIS)機能は、連邦政府と民間部門の間でサイバー脅威インジケータを機械速度で交換できるようにします。脅威インジケータは、悪性IPアドレスやフィッシングメールの送信者アドレスなどの情報片(ただし、より複雑な場合もあります)です。 |
| Barncat | IntelMQは、メッセージキュープロトコルを用いてセキュリティフィード、ペーストビン、ツイートを収集・処理するためのCERT向けソリューションです。これはIHAP(Incident Handling Automation Project)と呼ばれるコミュニティ主導の取り組みで、複数のInfoSecイベントの中で欧州のCERTにより概念設計されました。主な目的は、インシデント対応者が脅威インテリジェンスを容易に収集・処理できるようにし、CERTのインシデントハンドリングプロセスを改善することです。 |
| Bearded Avenger | 脅威インテリジェンスを最速で取り込む方法。CIFの後継。 |
| Blueliv Threat Exchange Network | 参加者がコミュニティと脅威インジケータを共有できるようにします。 |
| CRITS | CRITSは、アナリストがマルウェアや脅威に関する共同調査を行うための手段を提供するプラットフォームです。集中型インテリジェンスデータリポジトリに接続しますが、プライベートインスタンスとしても利用できます。 |
| CIF | IntelMQは、メッセージキュープロトコルを用いてセキュリティフィード、ペーストビン、ツイートを収集・処理するためのCERT向けソリューションです。これはIHAP(Incident Handling Automation Project)と呼ばれるコミュニティ主導の取り組みで、複数のInfoSecイベントの中で欧州のCERTにより概念設計されました。主な目的は、インシデント対応者が脅威インテリジェンスを容易に収集・処理できるようにし、CERTのインシデントハンドリングプロセスを改善することです。 |
| IntelMQ | Collective Intelligence Framework(CIF)は、多数のソースから既知の悪性脅威情報を組み合わせ、その情報をIR、検知、緩和に利用できるようにします。コードは GitHub で入手可能です。 |
| Interflow | Malstromは、脅威追跡およびフォレンジックアーティファクトのリポジトリを目指していますが、YARAルールや調査メモも保存します。 |
| Malstrom | ManaTIプロジェクトは、新しい関係性や推論を自動的に見つける機械学習技術を用いて、脅威アナリストを支援します。 脅威インテリジェンスツール。 |
| ManaTI | RiskIQが提供するPassiveTotalプラットフォームは、攻撃が起きる前に防ぐため、可能な限り多くのデータをアナリストに提供する脅威分析プラットフォームです。複数種類のソリューションが提供され、他システムとの統合(API)も用意されています。 |
| MANTIS | Model-based Analysis of Threat Intelligence Sources(MANTIS)サイバー脅威インテリジェンス管理フレームワークは、STIXやCybOXなどの各種標準言語で表現されたサイバー脅威インテリジェンスの管理を支援します。ただし、大規模な本番運用にはまだ対応していません。 |
| Megatron | Palo Alto Networksが作成した拡張可能な脅威インテリジェンス処理フレームワーク。インジケータのリストを操作し、第三者の強制(エンフォースメント)インフラで消費できるように変換および/または集約するために使用できます。 脅威インテリジェンスツール。 |
| MineMeld | MegatronはCERT-SEにより実装されたツールで、不正IPを収集・分析し、統計の算出、ログファイルの変換・分析、アビューズおよびインシデント対応に利用できます。 |
| MISP | Pulsediveは無料のコミュニティ脅威インテリジェンスプラットフォームで、オープンソースフィードを取り込み、IOCをエンリッチし、リスクスコアリングアルゴリズムにかけてデータ品質を向上させます。ユーザーはIOCの投稿、検索、相関、更新ができ、IOCが高リスクである理由として「リスク要因」を一覧化し、脅威および脅威活動の高レベルなビューを提供します。 |
| OpenIOC | OpenIOCは、脅威インテリジェンスを共有するためのオープンフレームワークです。機械が解釈可能な形式で、内部および外部の双方に脅威情報を交換できるよう設計されています。 |
| OpenTAXII | OpenTAXIIは、TAXIIサービスの堅牢なPython実装であり、豊富な機能セットと、よく設計されたアプリケーション上に構築された使いやすいPythonic APIを提供します。 |
| OSTrICa | 脅威インテリジェンス情報を収集・可視化するための、オープンソースのプラグイン指向フレームワーク。 |
| OTX – Open Threat Exchange | AlienVault Open Threat Exchange(OTX)は、脅威研究者とセキュリティ専門家のグローバルコミュニティへのオープンアクセスを提供します。コミュニティ生成の脅威データを提供し、共同研究を可能にし、任意のソースからの脅威データでセキュリティインフラを更新するプロセスを自動化します。 |
| Open Threat Partner eXchange | Open Threat Partner eXchange(OpenTPX)は、機械可読な脅威インテリジェンスおよびネットワークセキュリティ運用データを交換するためのオープンソース形式とツールで構成されています。接続されたシステム間でデータ共有を可能にするJSONベースの形式です。 |
| PassiveTotal | Pulsediveは無料のコミュニティ脅威インテリジェンスプラットフォームで、オープンソースフィードを取り込み、IOCをエンリッチし、リスクスコアリングアルゴリズムにかけてデータ品質を向上させます。ユーザーはIOCの投稿、検索、相関、更新ができ、IOCが高リスクである理由として「リスク要因」を一覧化し、脅威および脅威活動の高レベルなビューを提供します。 |
| Pulsedive | Pulsediveは無料のコミュニティ脅威インテリジェンスプラットフォームで、オープンソースフィードを取り込み、IOCをエンリッチし、リスクスコアリングアルゴリズムにかけてデータ品質を向上させます。ユーザーはIOCの投稿、検索、相関、更新ができ、IOCが高リスクである理由として「リスク要因」を一覧化し、脅威および脅威活動の高レベルなビューを提供します。 |
| Recorded Future | Recorded Futureは、オープン、クローズド、技術ソースからの脅威インテリジェンスを単一ソリューションに自動統合するプレミアムSaaS製品です。同社の技術は自然言語処理(NLP)と機械学習を用いて脅威インテリジェンスをリアルタイムに提供し、ITセキュリティチームに人気の選択肢となっています。 |
| Scumblr | Scumblrは、データソース(GitHubリポジトリやURLなど)を定期的に同期し、特定された結果に対して(静的解析、動的チェック、メタデータ収集などの)分析を実行できるWebアプリケーションです。Scumblrは、インテリジェントな自動化フレームワークにより、問題の特定、追跡、解決をより迅速に行えるようにして、プロアクティブなセキュリティを効率化します。 |
| Soltra Edge | Soltra Edgeの基本版は無料で利用できます。高い相互運用性と拡張性を備えたコミュニティ防御モデルをサポートします。STIXやTAXIIなど、業界標準を標準でサポートする形で構築されています。 |
| STAXX (Anomali) | Anomali STAXX™は、任意のSTIX/TAXIIフィードを購読するための無料で簡単な方法を提供します。STAXXクライアントをダウンロードしてデータソースを設定するだけで、あとはSTAXXが処理します。 |
| stoQ | stoQは、サイバーアナリストが反復的なデータ駆動タスクを整理し自動化できるフレームワークです。他システムと連携するための多くのプラグインを備えています。ユースケースの一つは文書からのIOC抽出で、その例は こちら に示されていますが、難読化解除やコンテンツのデコード、例えばYARAによる自動スキャンにも使用できます。 |
| TARDIS | Threat Analysis, Reconnaissance, and Data Intelligence System(TARDIS)は、攻撃シグネチャを用いた履歴検索を行うためのオープンソースフレームワークです。 |
| ThreatConnect | ThreatConnectは、脅威インテリジェンス、分析、オーケストレーション機能を備えたプラットフォームです。データの収集、インテリジェンスの生成、他者との共有、そしてアクションの実行を支援するよう設計されています。 |
| ThreatCrowd | ThreatCrowdは、サイバー脅威に関連するアーティファクトを見つけて調査するためのシステムです。 |
| ThreatExchange | FacebookはThreatExchangeを作成し、参加組織が、望むグループのみに共有できるプライバシー制御を備えた、便利で構造化され使いやすいAPIを用いて脅威データを共有できるようにしました。このプロジェクトはまだ ベータ です。参照コードは GitHub で入手できます。 |
| Threat_Note | DPSの軽量調査ノートブック。 |
| XFE – X-Force Exchange | IBMによるX-Force Exchange(XFE)は、脅威インテリジェンス情報の検索、調査結果の収集、XFEコミュニティの他メンバーとの洞察共有に利用できる無料のSaaS製品です。 |
| Yara Share | Yara Shareは、オンラインのYaraルールエディタ兼共有プラットフォームです。 |
| Yeti | オープンで分散型、機械とアナリスト双方に優しい脅威インテリジェンスリポジトリ。インシデント対応者によって、インシデント対応者のために作られました。 |
脅威インテリジェンスを解析、作成、編集するためのあらゆる種類のツール。主にIOCベース。
| ActorTrackr | ActorTrackrは、アクター関連データの保存/検索/リンクのためのオープンソースWebアプリケーションです。主なソースはユーザーと各種公開リポジトリです。ソースは GitHub で入手可能です。 |
| AIEngine | AIEngineは、次世代の対話型/プログラム可能なPython/Ruby/Java/Luaパケット検査エンジンで、人手介入なしの学習機能、NIDS(Network Intrusion Detection System)機能、DNSドメイン分類、ネットワークコレクタ、ネットワークフォレンジックなど多くの機能を備えています。ソースは Bitbucket で入手可能です。 |
| Automater | Automaterは、侵入アナリストの分析プロセスを容易にすることを目的とした、URL/ドメイン、IPアドレス、MD5ハッシュのOSINTツールです。 |
| BotScout | BotScoutは、「ボット」として知られる自動化Webスクリプトがフォーラムに登録したり、データベースを汚染したり、スパムを拡散したり、Webサイト上のフォームを悪用したりするのを防ぐのに役立ちます。 |
| bro-intel-generator | APTグループ、オペレーション、マルウェア検索エンジン。このGoogleカスタム検索で使用されるソースは GitHub gist に一覧化されています。 |
| cabby | TAXIIサーバとやり取りするためのシンプルなPythonライブラリ。 |
| cacador | Cacadorは、テキストブロックから一般的な侵害指標を抽出するためにGoで書かれたツールです。 |
| Combine | Combineは、公開ソースから脅威インテリジェンスフィードを収集します。 |
| CrowdFMS | CrowdFMSは、Private APIシステムを活用してVirusTotalからサンプルの収集と処理を自動化するフレームワークです。このフレームワークは、ユーザーのYARA通知フィードでアラートをトリガーした最新サンプルを自動的にダウンロードします。 |
| CyBot | CyBotは脅威インテリジェンスのチャットボットです。カスタムモジュールが提供する複数種類のルックアップを実行できます。 |
| Cuckoo Sandbox | FireHOL blocklist-ipsets (*.netsetおよび*.ipsetファイルのみが集約されます)のフィードを、履歴変更を含めてPostgreSQLに保持するためのアプリケーション。リクエスト用にHTTPベースのAPIサービスを開発しました。 |
| Fenrir | シンプルなBash IOCスキャナ。 |
| FireHOL IP Aggregator | APTグループ、オペレーション、マルウェア検索エンジン。このGoogleカスタム検索で使用されるソースは GitHub gist に一覧化されています。 |
| Forager | マルチスレッドの脅威インテリジェンス収集スクリプト。 |
| GoatRider | GoatRiderは、Artillery Threat Intelligence Feeds、TOR、AlienVaultのOTX、Alexaトップ100万サイトを動的に取得し、ホスト名ファイルまたはIPファイルと比較するシンプルなツールです。 |
| Google APT Search Engine | Jagerは、さまざまな入力ソース(現時点ではPDF、近いうちにプレーンテキスト、将来的にはWebページ)から有用なIOC(侵害指標)を抽出し、扱いやすいJSON形式に格納するためのツールです。 |
| pdfまたはHTMLレポートからBro intelファイルを生成するスクリプト。 | 単一のインターフェースから複数のオンライン脅威アグリゲータにクエリできるPythonスクリプト。 |
| hashdd | APTグループ、オペレーション、マルウェア検索エンジン。このGoogleカスタム検索で使用されるソースは GitHub gist に一覧化されています。 |
| Harbinger Threat Intelligence | OpenIOCオブジェクトの基本的な作成と編集を可能にするPythonライブラリを提供します。 |
| Hiryu | APTキャンペーン情報を整理し、IOC間の関係を可視化するためのツール。 |
| IOC Editor | 侵害指標(IOC)の無料エディタ。 |
| ioc_parser | PDF形式のセキュリティレポートから侵害指標を抽出するツール。 |
| ioc_writer | OpenIOCオブジェクトの基本的な作成と編集を可能にするPythonライブラリを提供します。 |
| IOCextractor | IOC(Indicator of Compromise)Extractorは、テキストファイルからIOCを抽出するのを支援するプログラムです。一般的な目的は、非構造化または半構造化データから構造化データ(IOC)を解析するプロセスを高速化することです。脅威インテリジェンスツール。 |
| ibmxforceex.checker.py | IBM X-Force Exchange用のPythonクライアント。 |
| jager | QRadioは、サイバー脅威インテリジェンスソースを統合するために設計されたツール/フレームワークです。本プロジェクトの目的は、精査されたソースからインテリジェンスデータを抽出するための堅牢なモジュール型フレームワークを確立することです。 |
| libtaxii | TAXIIサービスを呼び出すTAXIIメッセージを扱うためのPythonライブラリ。 |
| Loki | シンプルなIOCおよびインシデント対応スキャナ。 |
| LookUp | LookUpは、IPアドレスに関するさまざまな脅威情報を取得するための集中ページです。SIEMなどのツールや他の調査ツールのコンテキストメニューに簡単に統合できます。 |
| Machinae | Machinaeは、公開サイト/フィードから、IPアドレス、ドメイン名、URL、メールアドレス、ファイルハッシュ、SSLフィンガープリントなど、さまざまなセキュリティ関連データのインテリジェンスを収集するためのツールです。 |
| MISP Workbench | MISPのMySQLデータベースからデータをエクスポートし、このプラットフォーム外で活用(あるいは悪用)するためのツール。 |
| MISP-Taxii-Server | EclecticIQのOpenTAXII実装で使用するための設定ファイル一式と、データがTAXIIサーバのインボックスに送信された際のコールバック。脅威インテリジェンスツール。 |
| nyx | オープンソースインテリジェンスの保存とリンクを扱うためのオープンソースRubyプロジェクト(Maltegoのようなものだが、無料で、特定/独自データベースに縛られない)。 |
| openioc-to-stix | OpenIOC XMLからSTIX XMLを生成します。 |
| OSTIP | 自作の脅威データプラットフォーム。 |
| poortego | 侵害指標(IOC)を意欲的かつスタイリッシュに収集・ハンティング! |
| PyIOCe | PyIOCeはPythonで書かれたIOCエディタです。 |
| QRadio | Real Intelligence Threat Analytics(RITA)は、さまざまな規模の企業ネットワークにおける侵害指標の探索を支援することを目的としています。 |
| rastrea2r | 複数の脅威インテリジェンスAPIを単一パッケージに統合。OpenDNS Investigate、VirusTotal、ShadowServerを含みます。 |
| Redline | TIHは、複数の公開セキュリティフィードといくつかの著名APIにわたってIOCを検索するのに役立つインテリジェンスツールです。このツールの狙いは、頻繁に追加されるIOCを検索・保存し、インジケータのローカルデータベースを自作することを容易にする点にあります。 |
| RITA | ThreatAggregratorは、多数のオンラインソースからセキュリティ脅威を集約し、CEF、Snort、IPTablesルールなどさまざまな形式で出力します。 |
| stix-viz | STIX可視化ツール。 |
| TAXII Test Server | 提供されるサービスに接続し、TAXII仕様に記載されたさまざまな機能を実行することで、TAXII環境をテストできます。 |
| threataggregator | Threatelligenceは、Elasticsearch、Kibana、Pythonを使用して、カスタムまたは公開ソースからインテリジェンスを自動収集するシンプルなサイバー脅威インテリジェンスフィードコレクタです。フィードを自動更新し、ダッシュボード向けにデータをさらに強化しようとします。ただし、プロジェクトはもはや保守されていないようです。 |
| threatcrowd_api | ThreatCrowdのAPI用Pythonライブラリ。 |
| threatcmd | ThreatCrowdのCLIインターフェース。 |
| Threatelligence | Threatelligenceは、Elasticsearch、Kibana、Pythonを使用して、カスタムまたは公開ソースからインテリジェンスを自動収集するシンプルなサイバー脅威インテリジェンスフィードコレクタです。フィードを自動更新し、ダッシュボード向けにデータをさらに強化しようとします。ただし、プロジェクトはもはや保守されていないようです。 |
| ThreatPinch Lookup | IPv4、MD5、SHA2、CVEについて、ページ上のあらゆる箇所にホバーポップアップを作成するChrome拡張。脅威調査中のルックアップに使用できます。 |
| ThreatScanner | Fidelis CybersecurityによるThreatScannerは、単一マシン上でIOCまたはYARAルールを探索するスクリプトを実行し、不審なアーティファクトの詳細を提供するレポートを自動生成します。 |
| ThreatTracker | 指定されたIOCセットを、複数のGoogleカスタム検索エンジンでインデックス化し、監視およびアラート生成を行うために設計されたPythonスクリプト。 |
| threat_intel | 複数の脅威インテリジェンスAPIを単一パッケージに統合。OpenDNS Investigate、VirusTotal、ShadowServerを含みます。 |
| Threat-Intelligence-Hunter | TIHは、複数の公開セキュリティフィードといくつかの著名APIにわたってIOCを検索するのに役立つインテリジェンスツールです。このツールの狙いは、頻繁に追加されるIOCを検索・保存し、インジケータのローカルデータベースを自作することを容易にする点にあります。 |
| tiq-test | Threat Intelligence Quotient(TIQ)Testツールは、TIフィードの可視化と統計分析を提供します。 |
| YETI | YETIは、TAXIIサービス仕様で定義されたInbox、Poll、DiscoveryサービスをサポートするTAXIIの概念実証実装です。脅威インテリジェンスツール。 |
| sqhunter | osquery、Salt Open、Cymon APIに基づくスレットハンター。オープンなネットワークソケットをクエリし、脅威インテリジェンスソースと照合できます。 |
脅威インテリジェンスに関するあらゆる種類の読み物。(科学的)研究やホワイトペーパーを含みます。
| APT & サイバー犯罪キャンペーンコレクション | (過去のものを含む)キャンペーンの膨大なコレクション。エントリはさまざまなソースから提供されます。 |
| APTnotes | 高度持続的脅威 (APT)に関する優れたソース集。これらのレポートには通常、戦略的・戦術的な知見や助言が含まれます。 |
| ATT&CK | Adversarial Tactics, Techniques, and Common Knowledge(ATT&CK™)は、敵対者が企業ネットワーク内で活動する際に取り得る行動を記述するためのモデルおよびフレームワークです。ATT&CKは、侵入後の手法に関する共通参照として継続的に成長しており、ネットワーク侵入中にどのような行動が見られ得るかの認識を高めます。MITREは、CAPEC、STIX、MAECなどの関連構成要素との統合に積極的に取り組んでいます。 |
| ダイヤモンドモデルで脅威ハンティング戦略を構築する | ダイヤモンドモデルを用いてインテリジェントな脅威ハンティング戦略を開発する方法についての、Sergio Caltagironeによるブログ投稿。 |
| MITREによるCyber Analytics Repository | Cyber Analytics Repository(CAR)は、MITREがAdversary Tactics, Techniques, and Common Knowledge(ATT&CK™)脅威モデルに基づいて開発した分析のナレッジベースです。 |
| サイバー脅威インテリジェンス決定版ガイド | 本稿は、侵入分析を支援・改善するための認知フレームワークおよび分析手段であるダイヤモンドモデルを提示します。侵入分析における測定可能性、テスト可能性、再現性を高め、敵対者を打ち負かす上でより高い有効性、効率性、正確性を達成することは、その主要な貢献の一つです。 |
| Detection Maturity Level(DML) | DMLモデルは、サイバー攻撃の検知における成熟度を参照するための能力成熟度モデルです。インテリジェンス主導の検知と対応を行い、成熟した検知プログラムに重点を置く組織向けに設計されています。組織の成熟度は、関連インテリジェンスを単に入手できるかではなく、そのインテリジェンスを検知・対応機能に効果的に適用できる能力によって測られます。 |
| 侵入分析のダイヤモンドモデル | 本稿で提示される侵入キルチェーンは、侵入分析、インジケータ抽出、防御行動の実施に対して構造化されたアプローチを提供します。 |
| F3EAD | F3EADは、作戦とインテリジェンスを組み合わせるための軍事手法です。 |
| NISTによるサイバー脅威情報共有ガイド | Guide to Cyber Threat Information Sharing(NIST Special Publication 800-150)は、脅威インテリジェンスの積極的な共有と継続的な調整を通じて、パートナーの集合知、経験、能力を活用するコンピュータセキュリティインシデント対応能力を組織が確立するのを支援します。本ガイドは、データの生成と消費、情報共有コミュニティへの参加、インシデント関連データの保護など、協調的なインシデントハンドリングのための指針を提供します。 |
| 戦場/作戦空間のインテリジェンス準備 | 本出版物は、戦域インテリジェンス準備(IPB)を軍事の意思決定および計画プロセスの重要要素として論じ、IPBが意思決定をどのように支援するか、またプロセスの統合と継続活動について説明します。 |
| 敵対者キャンペーン分析と侵入キルチェーン分析に基づくインテリジェンス主導のコンピュータネットワーク防御 | 米陸軍による本出版物は、統合インテリジェンス・ドクトリンの中核を成し、作戦、計画、インテリジェンスを一体的なチームへ完全に統合するための基盤を築きます。提示される概念は(サイバー)脅威インテリジェンスにも適用可能です。 |
| 統合出版物2-0:統合インテリジェンス | 22の脅威インテリジェンス共有プラットフォーム(TISP)を体系的に調査し、脅威インテリジェンス利用の現状、その定義、TISPに関する8つの主要な発見を明らかにしました。 |
| Microsoft研究論文 | サイバーセキュリティ情報共有とリスク低減のためのフレームワーク。Microsoftによるハイレベルな概説論文。 |
| MISPコアフォーマット(ドラフト) | 本書は、MISP(Malware Information and Threat Sharing Platform)インスタンス間でインジケータおよび脅威情報を交換するために使用されるMISPコアフォーマットを説明します。 |
| NECOMAプロジェクト | WOMBATプロジェクトは、インターネット経済とネット市民を標的とする既存および新興の脅威を理解するための新しい手段を提供することを目的としています。この目標を達成するため、提案には3つの主要ワークパッケージが含まれます:(i) 多様なセキュリティ関連生データのリアルタイム収集、(ii) 各種分析技術による入力のエンリッチメント、(iii) 根本原因の特定と、精査対象となる現象の理解。 |
| Pyramid of Pain | Pyramid of Painは、異なるレベルのインジケータを取得する難しさと、防御側が取得した場合に敵対者が費やさなければならないリソース量を表現するための図です。 |
| インテリジェンス分析のための構造化分析手法 | 本書には、インテリジェンス、法執行、国土安全保障、ビジネス分析における最新のベストプラクティスを代表する手法が収録されています。 |
| 脅威インテリジェンス:収集、分析、評価 | MWR InfoSecurityによる本レポートは、戦略的、戦術的、運用的なバリエーションを含む、複数種類の脅威インテリジェンスを明確に説明しています。また、要件抽出、収集、分析、生成、評価のプロセスについても論じています。さらに、MWR InfoSecurityが定義する各種脅威インテリジェンスごとのクイックウィンと成熟度モデルも含まれます。 |
| 脅威インテリジェンス共有プラットフォーム:ソフトウェアベンダーと研究視点の探索的研究 | 22の脅威インテリジェンス共有プラットフォーム(TISP)を体系的に調査し、脅威インテリジェンス利用の現状、その定義、TISPに関する8つの主要な発見を明らかにしました。 |
| Traffic Light Protocol | Traffic Light Protocol(TLP)は、機微情報が適切な対象に共有されることを確実にするための指定体系です。4色を用いて感度の度合いと、受領者が適用すべき共有上の考慮事項を示します。 |
| サイバー脅威インテリジェンスを誰がどのように使っているのか? | SANS Instituteによるホワイトペーパーで、実施された調査を含め、脅威インテリジェンスの利用状況を説明しています。 |
| WOMBATプロジェクト | WOMBATプロジェクトは、インターネット経済とネット市民を標的とする既存および新興の脅威を理解するための新しい手段を提供することを目的としています。この目標を達成するため、提案には3つの主要ワークパッケージが含まれます:(i) 多様なセキュリティ関連生データのリアルタイム収集、(ii) 各種分析技術による入力のエンリッチメント、(iii) 根本原因の特定と、精査対象となる現象の理解。 |
クレジット:この素晴らしい作業は、もともと Herman Slatman によって行われました。
翻訳元: https://gbhackers.com/cyber-threat-intelligence-tools/
ソース: gbhackers.com
