https://github.com/InQuest/ThreatIngestor

https://inquest.readthedocs.io/projects/threatingestor/en/latest/welcome.html#try-it-out

一個(gè)可擴(kuò)展的工具，以提取和聚合IOCs的威脅feed。與即時(shí)可用的ThreatKB和MISP集成，可以與任何現(xiàn)有的帶有SQS、Beanstalk和自定義插件的worflow無(wú)縫集成。

一、概述

可以將ThreatIngestor配置為監(jiān)視Twitter、RSS feed或其他源，提取有意義的信息，如惡意ip /域名和YARA簽名，然后將這些信息發(fā)送到另一個(gè)系統(tǒng)進(jìn)行分析。

二、ThreatIngestor是什么?

ThreatIngestor幫助您從公共feed收集威脅情報(bào)，并為您提供有關(guān)該情報(bào)的背景資料，以便您可以進(jìn)一步研究它，并將其用于保護(hù)您自己或您的組織。

關(guān)于網(wǎng)上惡意活動(dòng)的公開信息源源不斷，但手工編譯所有這些信息需要大量的手工工作和時(shí)間。使用安全軟件可以盡可能多地自動(dòng)完成這些工作，這樣你就可以把注意力放在更重要的事情上。

Twitter用戶@MalwareConfig的feed的一個(gè)屏幕截圖，顯示了兩個(gè)帶有被破壞的C2域和IP地址的tweet。

因?yàn)樗峭耆K化和配置驅(qū)動(dòng)的，ThreatIngestor是超級(jí)靈活的，應(yīng)該很容易適應(yīng)任何威脅情報(bào)工作流程。

二、IOC- db，破壞指標(biāo)(IOC)數(shù)據(jù)庫(kù)

作為InQuest實(shí)驗(yàn)室的最新成員，該工具對(duì)個(gè)人和團(tuán)隊(duì)通過(guò)Twitter、Github和博客等媒體發(fā)布的大量開源智能(OSINT)進(jìn)行了索引。研究人員和分析人員可以收集像IOCs和YARA規(guī)則這樣有價(jià)值的人工制品，以幫助他們的日常操作。我們利用先前出版工具ThreatIngestor(文檔)和iocextract(文檔)來(lái)促進(jìn)這個(gè)自動(dòng)化的收獲。數(shù)據(jù)收集開始于2019年8月，可以交互搜索，也可以通過(guò)API搜索?？伤阉鞯墓ぜㄓ?、散列、IP地址、url和YARA規(guī)則。閱讀更多關(guān)于攝取源/統(tǒng)計(jì)數(shù)據(jù)的信息，或者閱讀我們關(guān)于使用這些開源工具創(chuàng)建Twitter機(jī)器人的博客。

https://labs.inquest.net/iocdb