Ce dépôt rassemble des listes consolidées d'adresses IP, FQDN, domaines, URL, JA3, et bien d'autres. Ces données, issues de différents feeds publics, ont été fusionnées et épurées de faux positifs pour fournir des informations pertinentes et actualisées. Chaque entrée est conçue pour expirer après 7 jours pour assurer une pertinence à long terme. En principe, toutes les données peuvent être considérées comme malicieuses et doivent être manipulées avec précaution.
Pour minimiser le nombre de faux négatifs et faux positifs, nous avons adopté une série de mesures rigoureuses. Bien que certaines de ces mesures restent notre "sauce secrète", nous tenons à souligner que ce projet est actuellement une initiative gratuite. Des ajustements continueront d'être effectués sur le long terme selon les disponibilités et les retours de la communauté.
Les listes sont au format texte pur, rendant leur compatibilité optimale avec la plupart des dispositifs de sécurité, tels que les firewalls, serveurs DNS, systèmes IDS/IPS, proxys, et solutions SIEM. Trois formats principaux sont proposés pour chaque liste:
malicious-listmalicious-list.50k(limité à 50.000 lignes/items)malicious-list.100k(limité à 100.000 lignes/items)
Si un autre format est requis, n'hésitez pas à ouvrir une issue ou soumettre une pull request.
Les listes blocage sont organisées selon le format suivant dans le répertoire "public.dir" :
./public.dir/domain/- contient principalement des domaines identifiés comme malveillants../public.dir/fqdn/- contient principalement des FQDN identifiés comme malveillants../public.dir/ip/- contient principalement des adresses IP identifiées comme malveillantes, de mauvaise réputation, des proxies ouverts, des scanners, des spammers et des noeuds de sortie tor../public.dir/ja3/ou ssl - contient principalement des empreintes SSL identifiées comme malveillantes../public.dir/url/- contient principalement des URL identifiées comme malveillantes mais aussi le chemin et le fragment de ces URL.
Cette ressource s'adresse principalement aux ingénieurs réseaux, professionnels de la sécurité réseau, et chercheurs en cybersécurité pour diverses applications.
Les données sont régulièrement mises à jour. Pour illustrer le principe d'expiration, une donnée ajoutée le 01.01 serait retirée le 08.01. La fréquence de mise à jour peut varier selon le contenu du dataset. Si des mises à jour plus fréquentes ou un support sont requis, contactez-nous pour discuter d'un potentiel contrat de support professionnel.
Toute contribution pour améliorer la qualité des données, signaler des faux positifs, ou suggérer des améliorations est vivement encouragée. Vous pouvez ouvrir une issue, soumettre une pull request, ou nous contacter directement. Les sponsors et autres formes de soutien sont également les bienvenus pour continuer à améliorer la qualité de ce projet.
Bien que ce projet se focalise principalement sur la fourniture de données, nous offrons également des services pour contextualiser ces informations. Si votre organisation nécessite une expertise sur ce volet, n'hésitez pas à nous contacter.
Pour plus d'informations ou pour nous contacter :