规则库名称:Proofpoint -- Emerging Threats Open Ruleset [ et/open ]
描述
全世界范围内应用最广泛的规则库之一,用于检测和防范各种网络威胁,包括各类恶意软件和网络攻击。
开发者
Proofpoint
许可状态
开源
URL
https://rules.emergingthreats.net/open/suricata-6.0/emerging.rules.tar.gz
规则库名称:Proofpoint -- Emerging Threats Pro Ruleset [ et/pro ]
描述
全世界范围内应用最广泛的规则库之一,用于检测和防范各种网络威胁,包括各类恶意软件和网络攻击,相比于et/open,et/pro是付费的部分。
开发者
Proofpoint
许可状态
商业性质
订阅
https://shop.opnsense.com/?s=+ETPro&post_type=product
规则库名称:OISF -- Suricata Traffic ID ruleset [ oisf/trafficid ]
描述
网络攻击层面没什么参考意义,它检测网络流量中的不同类型和协议,识别和分类网络流量,包括但不限于Web流量、文件传输、远程桌面、数据库通信等。通过使用这些规则,Suricata可以生成有关网络流量的详细日志,可以在本地被动资产识别、内网测绘之类的功能模块起到一定的作用
开发者
OISF
许可状态
开源
URL
https://openinfosecfoundation.org/rules/trafficid/trafficid.rules
规则库名称:Positive Technologies -- Positive Technologies Attack Detection Team ruleset [ ptresearch/attackdetection ]
描述
攻击检测团队搜索新漏洞和 0day,对其进行重现并创建 PoC 漏洞,以了解这些安全缺陷如何工作以及如何在网络层检测到相关攻击。此外,我们对恶意软件和黑客的TTP感兴趣,因此我们开发了Suricata规则来检测各种此类活动。
开发者
Positive Technologies
许可状态
Custom
URL
https://raw.githubusercontent.com/ptresearch/AttackDetection/master/pt.rules.tar.gz
规则库名称:Secureworks -- Secureworks suricata-enhanced ruleset [ scwx/enhanced ]
描述
由恶意软件规则和其他安全相关对策组成的广泛规则集,由 Secureworks反威胁单元研究团队策划。该规则集已通过全面且完全符合标准的 BETTER 元数据 (https://better-schema.readthedocs.io/) 得到增强。
开发者
Secureworks
许可状态
商业性质
订阅
https://www.secureworks.com/contact/
备注
(Please reference CTU Countermeasures)
规则库名称:Secureworks -- Secureworks suricata-malware ruleset [ scwx/malware ]
描述
高保真、高优先级规则集主要由与恶意软件相关的对策组成,由 Secureworks 反威胁单元研究团队策划。
开发者
Secureworks
许可状态
商业性质
订阅
https://www.secureworks.com/contact/
备注
请参考CTU政策
规则库名称:Secureworks -- Secureworks suricata-security ruleset [ scwx/security ]
描述
由恶意软件规则和其他安全相关对策组成的广泛规则集,由 Secureworks 反威胁单元研究团队策划。
开发者
Secureworks
许可状态
商业性质
订阅
https://www.secureworks.com/contact/
备注
请参考CTU政策
规则库名称:Abuse.ch -- Abuse.ch SSL Blacklist [ sslbl/ssl-fp-blacklist ]
描述
SSL 黑名单 (SSLBL) 是滥用.ch 的一个项目,其目标是通过识别僵尸网络 C&C 服务器使用的 SSL 证书并将其列入黑名单来检测恶意 SSL 连接。此外,SSLBL 可识别 JA3 指纹,帮助您检测和识别 JA3 指纹。阻止恶意软件僵尸网络在 TCP 层上的 C&C 通信。
开发者
Abuse.ch
许可状态
非商业性质
URL
https://sslbl.abuse.ch/blacklist/sslblacklist.rules
规则库名称:Abuse.ch -- Abuse.ch Suricata JA3 Fingerprint Ruleset [ sslbl/ja3-fingerprints ]
描述
如果您正在运行 Suricata,则可以使用 SSLBL 的 Suricata JA3 FingerprintRuleset 根据 JA3 指纹检测和/或阻止网络中的恶意 SSL 连接。请注意,您需要 Suricata 4.1.0 或更高版本才能使用 JA3 指纹规则集
开发者
Abuse.ch
许可状态
非商业性质
URL
https://sslbl.abuse.ch/blacklist/ja3_fingerprints.rules
规则库名称:Etnetera a.s. -- Etnetera aggressive IP blacklist [ etnetera/aggressive ]
开发者
Etnetera a.s.
许可状态
开源
URL
https://security.etnetera.cz/feeds/etn_aggressive.rules
规则库名称:tgreen -- Threat hunting rules [ tgreen/hunting ]
描述
狩猎的启发式规则集。专注于异常检测和展示最新的引擎功能,性能有所欠缺。
开发者
tgreen
许可状态
GPLv3
URL
https://raw.githubusercontent.com/travisbgreen/hunting-rules/master/hunting.rules
规则库名称:malsilo -- Commodity malware rules [ malsilo/win-malware ]
描述
在运行时观察到的 TCP/UDP、DNS 和 HTTP Windows 威胁工件
开发者
malsilo
主页
https://raw-data.gitlab.io/post/malsilo_2.1/
许可状态
开源
URL
https://malsilo.gitlab.io/feeds/dumps/malsilo.rules.tar.gz
规则库名称:Stamus Networks -- Lateral movement rules [ stamus/lateral ]
描述
Suricata 规则集专门致力于检测 Stamus Networks 的 Microsoft Windows 环境中的横向移动
开发者
Stamus Networks
许可状态
GPL-3.0-only
URL
https://ti.stamus-networks.io/open/stamus-lateral-rules.tar.gz
规则库名称:Stamus Networks -- Newly Registered Domains Open only - 30 day list, complete [ stamus/nrd-30-open ]
描述
新注册的域列表(过去 30 天)以匹配 DNS、TLS 和 HTTP 通信。由 Stamus Labs 研究团队制作
开发者
Stamus Networks
许可状态
商业性质
订阅
https://www.stamus-networks.com/stamus-labs/subscribe-to-threat-intel-feed
规则库名称:Stamus Networks -- Newly Registered Domains Open only - 14 day list, complete [ stamus/nrd-14-open ]
描述
新注册的域列表(过去 14 天)以匹配 DNS、TLS 和 HTTP 通信。由 Stamus Labs 研究团队制作。
开发者
Stamus Networks
许可状态
商业性质
订阅
https://www.stamus-networks.com/stamus-labs/subscribe-to-threat-intel-feed
规则库名称:Stamus Networks -- Newly Registered Domains Open only - 30 day list, high entropy [ stamus/nrd-entropy-30-open ]
描述
可疑的新注册域名列表具有高熵(过去 30 天),以匹配 DNS、TLS 和 HTTP 通信。由 Stamus Labs 研究团队制作。
开发者
Stamus Networks
许可状态
商业性质
订阅
https://www.stamus-networks.com/stamus-labs/subscribe-to-threat-intel-feed
规则库名称:Stamus Networks -- Newly Registered Domains Open only - 14 day list, high entropy [ stamus/nrd-entropy-14-open ]
描述
可疑的新注册域名列表具有高熵(过去 14 天),以匹配 DNS、TLS 和 HTTP 通信。由 Stamus Labs 研究团队制作。
开发者
Stamus Networks
许可状态
商业性质
订阅
https://www.stamus-networks.com/stamus-labs/subscribe-to-threat-intel-feed
规则库名称:Stamus Networks -- Newly Registered Domains Open only - 30 day list, phishing [ stamus/nrd-phishing-30-open ]
描述
可疑的新注册域名列表具有高熵(过去 30 天),以匹配 DNS、TLS 和 HTTP 通信。由 Stamus Labs 研究团队制作。
开发者
Stamus Networks
许可状态
商业性质
订阅
https://www.stamus-networks.com/stamus-labs/subscribe-to-threat-intel-feed
规则库名称:Stamus Networks -- Newly Registered Domains Open only - 14 day list, phishing [ stamus/nrd-phishing-14-open ]
描述
可疑的新注册域网络钓鱼列表(过去 14 天)以匹配 DNS、TLS 和 HTTP 通信。由 Stamus Labs 研究团队制作。
开发者
Stamus Networks
许可状态
商业性质
订阅
https://www.stamus-networks.com/stamus-labs/subscribe-to-threat-intel-feed