Сервис CTT Threat Feed

Более 260 открытых источников знаний о киберугрозах, включая Twitter, Telegram, Online-песочницы и TI-отчеты. 250К+ индикаторов компрометации в день, подготовленных к использованию в вашем SIEM, SOAR, TIP или NGFW.

Подробнее
Сервис CTT Report Hub

Поток Threat Intelligence отчетов об угрозах, проанализированный средствами ML и AI для выделения ключевых элементов из связей и конвертирования в формат STIX.

Подробнее
Сервис CTT Noise Control

Фильтруйте “заведомо легитимные” сетевые ресурсы, программное обеспечение и файлы. CTT Noise Control упрощает процесс анализа, устраняя ложные срабатывания в TIP, SIEM, SOAR и XDR!

Подробнее
Сервис CTT WHOIS

Наш сервис предоставляет разобранные и нормализованные WHOIS-данные по домену в готовом к использованию формате. Добавьте информацию к своим данным без риска быть заблокированным на WHOIS-серверах.

Подробнее

Открытые источники – глобальная база знаний о киберугрозах

Наша миссия – помочь клиентам начать использовать открытые источники знаний о киберугрозах.
Мы берем на себя все методологические
и технические и проблемы предобработки данных, полученных из открытых источников.

Обогащение

Многие индикаторы не содержат контекста, что затрудняет быстрое принятие решения о реагировании на инцидент с найденным индикатором.

Используя индикатор, очень важно иметь дополнительную информацию о нем, в том числе: когда он впервые был замечен
в “дикой природе”, кому принадлежит этот IP-адрес или домен, где он размещен географически и относится ли к известному хостинг-провайдеру.

В процессе обогащения мы добавляем к IoC такую информацию, как:

  1. Категория угрозы(phishing, malware, ransomware и т.д.)
  2. Название семейства вредоносного ПО(Emotet, Trickbot, Ryuk и т.д.)
  3. Название APT-группировки(Sapphire Mushroom, BlindEagle,  FoxKitten и т.д.)
  4. Common Vulnerabilities and Exposures(CVE)

Мы объединяем данные из множества различных источников, используя собственную методологию для того, чтобы обогатить индикатор наиболее точным и качественным вердиктом.

После сбора индикаторов из множества источников мы обогащаем их, добавляя:

Расчет уровня опасности

Каждый день организации, активно использующие Интернет в своей повседневной деятельности, подвергаются сотням киберугроз. Это может привести к необходимости отслеживать и анализировать тысячи подозрительных событий ежедневно.

Большой поток оповещений необходимо приоритезировать и начать расследование с наиболее важных и опасных. Мы ранжируем каждый индикатор с помощью наших алгоритмов, чтобы присвоить им соответствующую уровень опасности и помочь вам сосредоточится только на важной информации.

Уменьшение числа ложных срабатываний

Некоторые индикаторы компрометации носят временный характер, другие представлены некорректно. Это приводит к большому количеству ложных срабатываний.

Возникновение ошибок типа I (ложноположительные) и ошибок типа II (ложноотрицательные) при работе с индикаторами компрометации является обычным, но раздражающим явлением.

Наш механизм проверки фильтрует такие индикаторы, что сокращает время расследования и повышает эффективность анализа угроз.

Мы очищаем фид от потенциальных ложных срабатываний, выполняя проверки:
{
  "ip": {
    "v4": "11.11.11.11",
  },
  "fseen": 1569715200,
  "lseen": 1569801600,
  "collect": 1571184000,
  "tags": {
    "str": ["shellprobe", "botnet"],
  },
  "threat": ["trickbot"]
  "score": {
    "total": 40
  }
  "fp": {
    "alarm": "false"
    }
}

CTT Threat Feed — это сервис, предоставляющий индикаторы компрометации, собранные из нескольких сотен открытых источников информации об угрозах, объединенные, очищенные и отсортированные по уровню опасности.

Наш сервис обогащает индикаторы всесторонним контекстом, чтобы ускорить реагирование на инциденты, а также позволяет использовать индикаторы в различных классах устройств ИБ благодаря готовым интеграциям.

CTT Threat Feed — это сервис, предоставляющий индикаторы компрометации, собранные из нескольких сотен открытых источников информации об угрозах, объединенные, очищенные и отсортированные по уровню опасности.

Наш сервис обогащает индикаторы всесторонним контекстом, чтобы ускорить реагирование на инциденты, а также позволяет использовать индикаторы в различных классах устройств ИБ благодаря готовым интеграциям.

Пример небольшой части полей
{
  "ip": {
    "v4": "11.11.11.11",
  },
  "fseen": 1569715200,
  "lseen": 1569801600,
  "collect": 1571184000,
  "tags": {
    "str": ["shellprobe", "botnet"],
  },
  "threat": ["trickbot"]
  "score": {
    "total": 40
  }
  "fp": {
    "alarm": "false"
    }
}

Сервис CTT WHOIS предоставляет регистрационные данные доменного имени. Вся информация от WHOIS-серверов анализируется, нормализуется и представляется в формате JSON, поэтому она может эффективно использоваться автоматизировано в вашей инфраструктуре.

{
  "status": "registered",
  "registered?": "true",
  "created_on": "2022-01-01 00:00:00",
  "updated_on": "2022-01-01 00:00:00",
  "expires_on": "2023-01-01 00:00:00",
  "age": 365,
  "registrar": "Registrar Name",
  "registrant": "Registrant Name",
  "nameservers": "ns1.domain.com,ns2.domain.com"
}
Авторизованные партнеры
Готовые интеграции
CTT Threat Feed имеет готовые интеграции с наиболее распространенными решениями SIEM, TIP, SOAR.

CTT Threat Feed также можно использовать в решениях NGFW для блокировки актуальных угроз непосредственно на периметре вашей сети.
Positive Technologies

Интеграция CTT Thread Feed с PT MaxPatrol SIEM реализована через собственное ПО CTT Downloder. Также ПО позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт. Интеграция с PT Threat Analyzer реализована нативно.

SOAR
R-Vision SOAR

R-Vision SOAR имеет интеграцию с CTT Threat Feed как через R-Vision TIP, так и через отдельный сервис, устанавливаемый локально и доступный в нашем репозитории GitHub.

GitHub
SecurityVision TIP

SecurityVision TIP имеет нативную интеграцию с CTT Threat Feed и CTT Report Hub.

Smart Monitor

Универсальная платформа для сбора и анализа машинных данных, которая позволяет решать практические задачи в области информационной безопасности, мониторинга ИТ-инфраструктуры и анализа бизнес-процессов. Smart Momitor имеет нативную интеграцию с CTT Threat Feed и CTT Report Hub

Показать еще
UserGate NGFW

UserGate NGFW интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.

Континент
Код Безопасности

В рамках расширенной поддержки NGFW Континент доступна нативная поддержка CTT Threat Feed.

Kaspersky CyberTrace

Интеграция CTT Thread Feed с Kaspersky CyberTrace реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.

ArcSight ESM/Logger

Интеграция CTT Thread Feed с ArcSight ESM/Logger реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.

TIP
R-Vision TIP

R-Vision TIP имеет нативную интеграцию с CTT Threat Feed, реализованную непосредственно в самом решении.

Splunk Enterprise

Splunk интегрирован с CTT Threat Feed через специализированное приложение, доступное в магазине производителя решения.

SplunkBase
Cisco Firepower

Cisco Firepower интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.

Elastic SIEM

Интеграция CTT Thread Feed с Elastic SIEM осуществляется через Elastic Filebeat agent.

IBM Qradar SIEM

Интеграция CTT Thread Feed с Qradar SIEM реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.

Palo Alto Cortex XSOAR

Palo Alto Cortex XSOAR интегрирован с CTT Threat Feed через специализированное приложение, доступное в магазине производителя решения.

Marketplace
Fortinet FortiGate

Fortinet Fortigate интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.

Palo Alto NGFW

Palo Alto NGFW интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.

MISP

СTT Thread Feed имеет интеграцию с MISP через специализированный скрипт, запускаемый локально, и доступный в нашем репозитории на GitHub.

GitHub
Open CTI

Open CTI имеет нативную интеграцию с сервисами CTT Threat Feed, CTT Report Hub, CTT Noise Control.

GitHub