Tutoriales

Amenaza gratuita Fuente Intel/IOC

Este repositorio contiene fuentes de inteligencia sobre amenazas de código abierto y disponibles gratuitamente sin requisitos adicionales para su uso. CSV Fuentes de inteligencia sobre amenazas Almacenado de forma estructurada según proveedor, descripción, categoría y URL. Los proveedores que proporcionan ThreatIntelFeeds se enumeran a continuación. Están disponibles las siguientes categorías de feeds:

  • protocolo SSL
  • propiedad intelectual
  • sistema de nombres de dominio
  • URL
  • MD5
  • SHA1
  • SHA256
  • CVEID

El contenido se proporciona tal cual. Cuando se utiliza contenido en un entorno comercial, se deben investigar las condiciones antes de usarlo y es posible que haya contenido que no se pueda usar libremente bajo ciertas condiciones. Es su responsabilidad investigar si este es el caso.

categoría contando
sistema de nombres de dominio 9
propiedad intelectual sesenta y cinco
MD5 10
SHA1 3
SHA256 7
protocolo SSL 1
URL veintiuno
CVEID 3

Integre la inteligencia sobre amenazas en su EDR y SIEM

Las fuentes proporcionadas en este repositorio se pueden utilizar para realizar búsqueda de amenazas en una solución EDR o SIEM para buscar actividad maliciosa. Para Defender para Endpoint y Sentinel, se han escrito algunas reglas de descubrimiento de KQL para implementarlas en su EDR o SIEM. mirar: consulta de búsqueda KQL

Quequel

Puede implementar fácilmente M365D Advanced Hunting o las fuentes de código abierto de Sentinel en KQL.Esto se hace usando datos externos operador. Este operador puede tomar un enlace externo como entrada y analizar los resultados en una tabla de datos que se puede usar para unir o filtrar en función de otras tablas. A continuación se muestra un ejemplo; el resultado es una tabla como cualquier otra tabla.

let C2IntelFeeds = externaldata(IP: string, ioc:string)[@" with (format="csv", ignoreFirstRecord=True);
C2IntelFeeds
| take 100

El documento explica los diferentes parámetros utilizados, como por ejemplo si desea ignorar la primera línea.

Combine el tráfico de red EDR y las fuentes de IOC

Los resultados de combinar el tráfico de la red EDR y las fuentes de IOC se muestran a continuación. Esta detección puede ayudarle a identificar los dispositivos conectados a la IP que aloja el servidor de comando y control.

let C2IntelFeeds = externaldata(IP: string, ioc:string)[@" with (format="csv", ignoreFirstRecord=True);
let IPList = C2IntelFeeds
| project IP;
DeviceNetworkEvents
| where RemoteIP in (IPList)
| join C2IntelFeeds on $left.RemoteIP == $right.IP
| extend GeoIPInfo = geo_info_from_ip_address(RemoteIP)
| extend country = tostring(parse_json(GeoIPInfo).country), state = tostring(parse_json(GeoIPInfo).state), city = tostring(parse_json(GeoIPInfo).city), latitude = tostring(parse_json(GeoIPInfo).latitude), longitude = tostring(parse_json(GeoIPInfo).longitude)
| project Timestamp, DeviceName, RemoteIP, RemotePort, RemoteUrl, ioc

contribuir

Muchas gracias por su contribución para hacer que esta lista de fuentes gratuitas de Intel/IOC que amenazan sea lo más grande y actualizada posible. Puedes contribuir creando una solicitud de extracción. Este PR debe contener lo siguiente:

  1. Agregue un enlace al feed en el archivo README.md. Si aún no hay una sección para la fuente, cree una nueva sección.
  2. Agregue los detalles al archivo ThreatIntelFeeds.csv, utilizando el formato que se muestra a continuación. Categoría se refiere a la categoría de feed que se muestra arriba.
Vendor;Description;Category;Url
  1. La fuente debe ser gratuita y estar disponible sin ninguna cuenta o token API.
  2. usar validador.py Script para validar el contenido de archivos CSV.Esto se puede hacer por guion Tabla de contenido.
  3. Actualice la tabla de estadísticas de IOC Feed ejecutando el siguiente comando Generar tabla stats.py Esto guardará la tabla Markdown en Tabla de estadísticas.md documento. Luego se le puede unir la hoja.

LEER  Linux 6.1 ahora es un núcleo de soporte a largo plazo (LTS)

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba