ThreatIngestor
https://github.com/InQuest/ThreatIngestor
https://inquest.readthedocs.io/projects/threatingestor/en/latest/welcome.html#try-it-out
一个可扩展的工具,以提取和聚合IOCs的威胁feed。与即时可用的ThreatKB和MISP集成,可以与任何现有的带有SQS、Beanstalk和自定义插件的worflow无缝集成。
一、概述
可以将ThreatIngestor配置为监视Twitter、RSS feed或其他源,提取有意义的信息,如恶意ip /域名和YARA签名,然后将这些信息发送到另一个系统进行分析。
二、ThreatIngestor是什么?
ThreatIngestor帮助您从公共feed收集威胁情报,并为您提供有关该情报的背景资料,以便您可以进一步研究它,并将其用于保护您自己或您的组织。
关于网上恶意活动的公开信息源源不断,但手工编译所有这些信息需要大量的手工工作和时间。使用安全软件可以尽可能多地自动完成这些工作,这样你就可以把注意力放在更重要的事情上。
Twitter用户@MalwareConfig的feed的一个屏幕截图,显示了两个带有被破坏的C2域和IP地址的tweet。
因为它是完全模块化和配置驱动的,ThreatIngestor是超级灵活的,应该很容易适应任何威胁情报工作流程。
二、IOC- db,破坏指标(IOC)数据库
作为InQuest实验室的最新成员,该工具对个人和团队通过Twitter、Github和博客等媒体发布的大量开源智能(OSINT)进行了索引。研究人员和分析人员可以收集像IOCs和YARA规则这样有价值的人工制品,以帮助他们的日常操作。我们利用先前出版工具ThreatIngestor(文档)和iocextract(文档)来促进这个自动化的收获。数据收集开始于2019年8月,可以交互搜索,也可以通过API搜索。可搜索的工件包括域、散列、IP地址、url和YARA规则。阅读更多关于摄取源/统计数据的信息,或者阅读我们关于使用这些开源工具创建Twitter机器人的博客。