前言

根據Gartner對威脅情報的定義，威脅情報是某種基于證據的知識，包括上下文、機制、標示、含義和能夠執行的建議，這些知識與資產所面臨已有的或醞釀中的威脅或危害相關，可用于資產相關主體對威脅或危害的響應或處理決策提供信息支持。本文所說的威脅情報屬于狹義的威脅情報，其主要內容為用于識別和檢測威脅的失陷標識，如文件HASH，IP，域名，程序運行路徑，注冊表項等，以及相關的歸屬標簽。

1、定期更新的IOC黑名單

https://myip.ms/files/blacklist/general/latest_blacklist.txt

2、知名廠商免費API

2.1注冊VirusTotal賬戶，VT提供一個免費的API，可以進行IP，Domain，File類信息的查詢，免費賬戶有查詢速率限制，每分鐘查詢四次限制，可以注冊多個賬戶輪訓。

https://www.virustotal.com

3、開源web沙箱

目前國內外主流的安全公司都有自己的威脅情報業務，例如VT，360，奇安信，微步在線，天際友盟等。關于IP，domain的部分情報實際上來自于惡意樣本在沙箱中的網絡行為，可以利用開源沙箱Cuckoo分析惡意樣本，實現IOC的生產。

4、部署蜜罐/蜜網

可以部署蜜罐進行IOC的生產和相關Tag的標注，這邊推薦我使用過的開源蜜罐HFish

4、情報爬蟲

國內的安全廠商都會定期更新安全分析文章，文章末尾有高質量IOC，可以利用爬蟲技術實現對公開安全報告中的IOC實現爬取。

• 安全廠商微信公眾號

1、安恒威脅情報中心
2、奇安信威脅情報中心
3、360威脅情報中心
4、騰訊安全威脅情報中心

• 安全廠商威脅情報中心

1、安天威脅情報中心 https://ti.dbappsecurity.com.cn/informationList

5、訂閱免費情報源

可以通過訂閱一些免費的開源情報平臺獲取高質量的威脅情報

AlienVault開放威脅交換(OTX)是全球權威的開放威脅信息共享和分析網絡。OTX提供了一個由威脅研究人員和安全專業人員組成的全球社區，有來自140個國家的5萬多名參與者，每天貢獻400多萬個威脅指標。

6、Twitter等平臺

Twitter等國外社交媒體上經常有第一手的攻擊信息，實效性強，老外的研究成果確實要領先于國內，經常出現國外前一天發布，國內第二天炒冷飯的情況，但是此類信息的缺點同樣明顯：信息準確性未經驗證，信息碎片化，難以規范化。