Threat-Intel 开源项目使用教程

1. 项目介绍

Threat-Intel 是一个开源项目，主要包含了基于恶意软件分析和被泄露的URL、IP和域名的开源网络安全威胁情报信息。该项目旨在开发并测试新的方法，以最小的努力来搜索、分析、收集和共享相关的IoCs（Indicator of Compromise，妥协指标），供SOC/CSIRT/CERT等安全组织使用。

2. 项目快速启动

首先，你需要克隆或者订阅该项目仓库。以下是快速启动的基本步骤：

# 克隆项目仓库
git clone https://github.com/davidonzo/Threat-Intel.git

# 进入项目目录
cd Threat-Intel

在克隆项目之后，你可以根据需要下载不同格式的报告，包括MISP feed、STIX v2格式和CSV格式。

3. 应用案例和最佳实践

订阅MISP Feed

你可以通过以下步骤订阅MISP feed：

1. 使用具有管理馈送权限的用户登录到MISP。
2. 进入“同步操作” -> “列表馈送” -> “默认馈送”。
3. 找到OSINT.digitalside.it条目。
4. 选择该行并点击顶部的“启用选中”按钮。

使用IoC列表

IoC列表以类似squid的格式提供，分为URLs、IPs和Domains。你可以根据你的需求使用这些列表。

STIX2报告

项目提供了基于STIX2格式的报告，这些报告可以被任何最新版本的MISP实例使用。

4. 典型生态项目

Threat-Intel 项目使用了多种技术和格式，可以与以下典型生态项目集成：

• MISP: 一个开源的软件解决方案，用于收集、分析和共享威胁情报。
• STIX: 结构化威胁信息表达式，一种用来表达威胁情报的标准格式。
• TAXII: 可扩展的威胁信息交换协议，用于交换威胁情报。

以上就是Threat-Intel开源项目的使用教程，希望对你有所帮助。