Afficher les flux de texte

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 5 minutes de lecture

    • Affichez les flux de texte configurés dans le système de base.

    Avant de commencer

    Rôle requis : sn_sec_tisc.admin

    Procédure

    1. Accédez à la Espaces de travail > Threat Intelligence Security Center.
    2. Cliquez sur l’icône Intégrations .
    3. Sélectionner l’option Texte .
      Vous trouverez ci-dessous la liste des flux de texte configurés dans le système de base.
      Flux de menaces Description URL
      Les adresses IP par force brute de Haley Fournit une liste des adresses IP des machines attaquantes au cours des 2 dernières années, triées par adresse IP http://charles.the-haleys.org/ssh_dico_attack_hdeny_format.php/hostsdeny.txt
      Règles de blocage Menaces émergentes Emerging Threat Intelligence (ET) Intelligence fournit des flux de renseignements exploitables sur les menaces afin d’identifier les adresses IP impliquées dans des activités suspectes et malveillantes. https://rules.emergingthreats.net/blockrules/compromised-ips.txt
      Nuug Pop3 Groper Web Liste des hôtes qui ont essayé et échoué à se connecter au service pop3 à bsdly.net. https://home.nuug.no/%7Epeter/pop3gropers.txt
      Nœuds de sortie Tor Les nœuds de sortie Tor peuvent être utilisés pour détecter le trafic provenant du réseau TOR. https://www.dan.me.uk/torlist/?exit
      Liste noire des adresses IP de Talos Intelligence Talos a été formé en combinant l’équipe de recherche sur les vulnérabilités de SourceFire, le groupe de recherche et de communications sur les menaces de Cisco et le groupe d’applications sécurisées de Cisco. L’expertise combinée s’appuie sur une infrastructure sophistiquée et sur la télémétrie inégalée des données de Cisco qui s’étend sur les réseaux, les terminaux, les environnements cloud, les systèmes virtuels et le trafic Web et de courrier électronique quotidien. https://www.talosintelligence.com/documents/ip-blacklist
      SANS ISC fournit un service gratuit d’analyse et d’alerte à des milliers d’internautes et d’organisations. https://isc.sans.edu/feeds/topips.txt
      Snort Snort est le premier système de prévention des intrusions (IPS) Open Source au monde. Snort IPS utilise une série de règles qui aident à définir l’activité malveillante du réseau. https://snort.org/downloads/ip-block-list
      Armée CI La liste CINS Army est un sous-ensemble de l’ensemble de règles CINS Active Threat Intelligence et se compose d’adresses IP qui répondent à l’un des deux critères de base suivants : 1) le récent facteur de score Rogue Packet de l’adresse IP est très faible, ou 2) l’adresse IP a déclenché un nombre désigné d’alertes « de confiance » sur un nombre donné de leurs Sentinelles déployées dans le monde entier. https://cinsscore.com/list/ci-badguys.txt
      Point de preuve Adresses IP brutes pour les listes de blocs de pare-feu. Ceux-ci proviennent de : Spam nets identifiés par Spamhaus (www.spamhaus.org), Top Attackers répertoriés par DShield (www.dshield.org) et Abuse.ch https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt
      Liste de blocage Greensnow GreenSnow est une équipe composée des meilleurs spécialistes de la sécurité informatique, GreenSnow récolte un grand nombre d’IP à partir de différents ordinateurs situés dans le monde entier. GreenSnow est comparable à SpamHaus.org pour les attaques de toutes sortes, à l’exception du spam. https://blocklist.greensnow.co/greensnow.txt
      Armée CI La liste CINS Army est un sous-ensemble de l’ensemble de règles CINS Active Threat Intelligence et se compose d’adresses IP qui répondent à l’un des deux critères de base suivants : 1) le récent facteur de score Rogue Packet de l’adresse IP est très faible, ou 2) l’adresse IP a déclenché un nombre désigné d’alertes « de confiance » sur un nombre donné de leurs Sentinelles déployées dans le monde entier. https://cinsscore.com/list/ci-badguys.txt
      Liste de blocs www.blocklist.de s’agit d’un service gratuit et volontaire fourni par un spécialiste de la fraude et de l’abus, dont les serveurs sont souvent attaqués via des services SSH, Mail-Login, FTP, Webserver et autres. https://lists.blocklist.de/lists/all.txt
      Nœuds de sortie Tor Les nœuds de sortie Tor peuvent être utilisés pour détecter le trafic provenant du réseau TOR. https://www.dan.me.uk/torlist/?exit
      IP BOT Botscout BotScout permet d’empêcher les scripts Web automatisés, connus sous le nom de « bots », de s’inscrire sur les forums, de polluer les bases de données, de diffuser du spam et d’abuser des formulaires sur les sites Web. http://botscout.com/last_caught_cache.txt
      Plan de données VNC RFB Adresses IP identifiées comme initiatrices de sessions de mémoire tampon de trame distante VNC. https://dataplane.org/signals/vncrfb.txt
      Connexion TELNET au plan de données Adresses IP identifiées comme tentant de se connecter via l’authentification par mot de passe TELNET. https://dataplane.org/signals/telnetlogin.txt
      Authentification par mot de passe SSH du plan de données Adresses IP identifiées comme tentant de se connecter via l’authentification par mot de passe SSH. https://dataplane.org/signals/sshpwauth.txt
      Connexion client SSH du plan de données Adresses IP identifiées comme effectuant des négociations de protocole client SSH. https://dataplane.org/signals/sshclient.txt
      Règles de blocage Menaces émergentes Emerging Threat Intelligence (ET) Intelligence fournit des flux de renseignements exploitables sur les menaces afin d’identifier les adresses IP impliquées dans des activités suspectes et malveillantes. https://rules.emergingthreats.net/blockrules/compromised-ips.txt
      Message d’accueil SMTP du plan de données Adresses IP identifiées comme des clients SMTP émettant des commandes HELO ou EHLO non sollicitées. https://dataplane.org/signals/smtpgreet.txt
      Requête SIP du plan de données Les adresses IP identifiées comme envoyant des requêtes SIP OPTIONS. https://dataplane.org/signals/sipquery.txt
      Protocole IP de plan de données 41 Adresses IP identifiées comme relais de protocole IPv4 41 ouvert (c’est-à-dire IPv6 sur IPv4). https://dataplane.org/signals/proto41.txt
      Invitation SIP Dataplane Adresses IP identifiées comme envoyant des opérations SIP INVITE. https://dataplane.org/signals/sipinvitation.txt
      Plan de données DNS CH, TXT version.bind Adresses IP identifiées comme envoyant DNS CH TXT VERSION. LIER les requêtes. https://dataplane.org/signals/dnsversion.txt
      Plan de données DNS TCP Les adresses IP identifiées comme envoyant des requêtes DNS sur le port TCP 53. https://dataplane.org/signals/dnstcp.txt
      Récursivité DNS du plan de données souhaitée DANS N’IMPORTE QUEL Les adresses IP identifiées comme envoyant un DNS récursif dans n’importe quelle requête. https://dataplane.org/signals/dnsrdany.txt
      Récursivité DNS du plan de données souhaitée Adresses IP identifiées comme envoyant des requêtes DNS récursives. https://dataplane.org/signals/dnsrd.txt
      Base de données Hameçonnage de GitHub Liens d’hameçonnage actifs Source de données pour l’extraction des liens d’hameçonnage actifs à partir de la base de données d’hameçonnage disponible sur GitHub. https://raw.githubusercontent.com/mitchellkrogza/Phishing.Database/master/phishing-links-ACTIVE.txt
      Base de données Hameçonnage de GitHub Domaines actifs Source de données pour l’extraction des domaines actifs à partir de la base de données d’hameçonnage disponible sur GitHub. https://raw.githubusercontent.com/mitchellkrogza/Phishing.Database/master/phishing-domains-ACTIVE.txt
      Base de données d’hameçonnage à partir des adresses IP actives GitHub Source de données pour l’extraction des adresses IP actives à partir de la base de données d’hameçonnage disponible sur GitHub. https://raw.githubusercontent.com/mitchellkrogza/Phishing.Database/master/phishing-IPs-ACTIVE.txt
      Liste de blocage des bots Toutes les adresses IP qui ont été signalées au cours des dernières 48 heures comme ayant exécuté des attaques sur les attaques RFI, REG-Bots, IRC-Bots ou BadBots. https://lists.blocklist.de/lists/bots.txt
      Liste de blocage des attaques Apache Toutes les adresses IP qui ont été signalées au cours des dernières 48 heures comme ayant exécuté des attaques sur le service Apache, Apache-DDOS, RFI-Attacks. https://lists.blocklist.de/lists/apache.txt
      Liste noire Voip par Scopserv Récupérer la liste des adresses IP sur liste de blocage à partir de la liste noire Voip. http://voipbl.org/update/?dm=bl
      Liste de blocage du domaine Threatview Domaines malveillants identifiés pour l’hameçonnage/la diffusion de programmes malveillants/la commande et le contrôle. https://threatview.io/Downloads/DOMAIN-High-Confidence-Feed.txt
      Liste de blocage de hachage MD5 Threatview Hachages MD5 de fichiers malveillants ou associés à des logiciels malveillants, des rançongiciels, des outils de piratage, des bots, etc. https://threatview.io/Downloads/MD5-HASH-ALL.txt
      Liste de blocage de l’URL de Threatview URL malveillantes au service de logiciels malveillants, d’hameçonnage, de botnets et de C2. https://threatview.io/Downloads/URL-High-Confidence-Feed.txt
      Liste de blocage de hachage de fichier SHA Threatview Hachages SHA de fichiers connus ou liés à l’exécution de logiciels malveillants. https://threatview.io/Downloads/SHA-HASH-FEED.txt
      Liste de blocage des adresses IP Threatview Liste de blocage des adresses IP malveillantes pour les adresses IP incorrectes connues. https://threatview.io/Downloads/IP-High-Confidence-Feed.txt
      Flux de chasse C2 Threatview Infrastructure hébergeant les serveurs de commande et de contrôle trouvés pendant la recherche proactive par Threatview.io https://threatview.io/Downloads/High-Confidence-CobaltStrike-C2%20-Feeds.txt
      OSINT Threatview Flux de menaces Indicateurs malveillants de compromission recueillis à partir de la source OSINT : Twitter et Pastebin. https://threatview.io/Downloads/Experimental-IOC-Tweets.txt
    4. Cliquez sur Modifier pour modifier le flux.