Este repositorio contiene fuentes de inteligencia sobre amenazas de código abierto y disponibles gratuitamente sin requisitos adicionales para su uso. CSV Fuentes de inteligencia sobre amenazas Almacenado de forma estructurada según proveedor, descripción, categoría y URL. Los proveedores que proporcionan ThreatIntelFeeds se enumeran a continuación. Están disponibles las siguientes categorías de feeds:
- protocolo SSL
- propiedad intelectual
- sistema de nombres de dominio
- URL
- MD5
- SHA1
- SHA256
- CVEID
El contenido se proporciona tal cual. Cuando se utiliza contenido en un entorno comercial, se deben investigar las condiciones antes de usarlo y es posible que haya contenido que no se pueda usar libremente bajo ciertas condiciones. Es su responsabilidad investigar si este es el caso.
| categoría | contando |
|---|---|
| sistema de nombres de dominio | 9 |
| propiedad intelectual | sesenta y cinco |
| MD5 | 10 |
| SHA1 | 3 |
| SHA256 | 7 |
| protocolo SSL | 1 |
| URL | veintiuno |
| CVEID | 3 |
Integre la inteligencia sobre amenazas en su EDR y SIEM
Las fuentes proporcionadas en este repositorio se pueden utilizar para realizar búsqueda de amenazas en una solución EDR o SIEM para buscar actividad maliciosa. Para Defender para Endpoint y Sentinel, se han escrito algunas reglas de descubrimiento de KQL para implementarlas en su EDR o SIEM. mirar: consulta de búsqueda KQL
Quequel
Puede implementar fácilmente M365D Advanced Hunting o las fuentes de código abierto de Sentinel en KQL.Esto se hace usando datos externos operador. Este operador puede tomar un enlace externo como entrada y analizar los resultados en una tabla de datos que se puede usar para unir o filtrar en función de otras tablas. A continuación se muestra un ejemplo; el resultado es una tabla como cualquier otra tabla.
let C2IntelFeeds = externaldata(IP: string, ioc:string)[@" with (format="csv", ignoreFirstRecord=True);
C2IntelFeeds
| take 100El documento explica los diferentes parámetros utilizados, como por ejemplo si desea ignorar la primera línea.
Combine el tráfico de red EDR y las fuentes de IOC
Los resultados de combinar el tráfico de la red EDR y las fuentes de IOC se muestran a continuación. Esta detección puede ayudarle a identificar los dispositivos conectados a la IP que aloja el servidor de comando y control.
let C2IntelFeeds = externaldata(IP: string, ioc:string)[@" with (format="csv", ignoreFirstRecord=True);
let IPList = C2IntelFeeds
| project IP;
DeviceNetworkEvents
| where RemoteIP in (IPList)
| join C2IntelFeeds on $left.RemoteIP == $right.IP
| extend GeoIPInfo = geo_info_from_ip_address(RemoteIP)
| extend country = tostring(parse_json(GeoIPInfo).country), state = tostring(parse_json(GeoIPInfo).state), city = tostring(parse_json(GeoIPInfo).city), latitude = tostring(parse_json(GeoIPInfo).latitude), longitude = tostring(parse_json(GeoIPInfo).longitude)
| project Timestamp, DeviceName, RemoteIP, RemotePort, RemoteUrl, ioccontribuir
Muchas gracias por su contribución para hacer que esta lista de fuentes gratuitas de Intel/IOC que amenazan sea lo más grande y actualizada posible. Puedes contribuir creando una solicitud de extracción. Este PR debe contener lo siguiente:
- Agregue un enlace al feed en el archivo README.md. Si aún no hay una sección para la fuente, cree una nueva sección.
- Agregue los detalles al archivo ThreatIntelFeeds.csv, utilizando el formato que se muestra a continuación. Categoría se refiere a la categoría de feed que se muestra arriba.
Vendor;Description;Category;Url- La fuente debe ser gratuita y estar disponible sin ninguna cuenta o token API.
- usar validador.py Script para validar el contenido de archivos CSV.Esto se puede hacer por guion Tabla de contenido.
- Actualice la tabla de estadísticas de IOC Feed ejecutando el siguiente comando Generar tabla stats.py Esto guardará la tabla Markdown en Tabla de estadísticas.md documento. Luego se le puede unir la hoja.
