Открытые источники - глобальная база знаний о киберугрозах
Наша миссия - помочь клиентам начать использовать открытые источники знаний о киберугрозах.
Мы берем на себя все методологические и технические и проблемы предобработки данных, полученных из открытых источников.
Методология работы с открытыми источниками
Обогащение
Многие индикаторы не содержат контекста, что затрудняет быстрое принятие решения о реагировании на инцидент с найденным индикатором.
Используя индикатор, очень важно иметь дополнительную информацию о нем, в том числе: когда он впервые был замечен в "дикой природе, кому принадлежит этот IP-адрес или домен, где он размещен географически и относится ли к известному хостинг-провайдеру.
В процессе обогащения мы добавляем к IoC такую информацию, как:
- Категория угрозы
(phishing, malware, ransomware и т.д.) - Название семейства вредоносного ПО
(Emotet, Trickbot, Ryuk и т.д.) - Название APT-группировки
(Sapphire Mushroom, BlindEagle, FoxKitten и т.д.) - Common Vulnerabilities and Exposures
(CVE)
Мы объединяем данные из множества различных источников, используя собственную методологию для того, чтобы обогатить индикатор наиболее точным и качественным вердиктом.
После сбора индикаторов из множества источников мы обогащаем их, добавляя:
Расчет уровня опасности
Каждый день организации, активно использующую Интернет в своей повседневной деятельности, подвергаются сотням киберугроз . Это может привести к необходимости отслеживать и анализировать тысячи подозрительных событий ежедневно.
Большой поток оповещений необходимо приоритезировать и начать расследование с наиболее важных и опасных. Мы ранжируем каждый индикатор с помощью наших алгоритмов, чтобы присвоить им соответствующую уровень опасноси и помочь вам сосредоточится только на важной информации.
CTT Threat Feed
CTT Threat Feed — это сервис, предоставляющий индикаторы компрометации, собранные из нескольких сотен открытых источников информации об угрозах, объединенные, очищенные и отсортированные по уровню опасности. Наш сервис обогащает индикаторы всесторонним контекстом, чтобы ускорить реагирование на инциденты, а также позволяет использовать индикаторы в различных классах устройств ИБ благодаря готовым интеграциям.
Пример небольшой части полей
{
"ip": {
"v4": "11.11.11.11",
},
"fseen": 1569715200,
"lseen": 1569801600,
"collect": 1571184000,
"tags": {
"str": ["shellprobe", "botnet"],
},
"threat": ["trickbot"]
"score": {
"total": 40
}
"fp": {
"alarm": "false"
}
}
CTT WHOIS
Сервис CTT WHOIS предоставляет регистрационные данные доменного имени. Вся информация от WHOIS-серверов анализируется, нормализуется и представляется в формате JSON, поэтому она может эффективно использоваться автоматизировано в вашей инфраструктуре.
{
"status": "registered",
"registered?": "true",
"created_on": "2022-01-01 00:00:00",
"updated_on": "2022-01-01 00:00:00",
"expires_on": "2023-01-01 00:00:00",
"age": 365,
"registrar": "Registrar Name",
"registrant": "Registrant Name",
"nameservers": "ns1.domain.com,ns2.domain.com"
}
Авторизованные партнеры
Готовые интеграции
CTT Threat Feed имеет готовые интеграции с наиболее распространенными решениями SIEM, TIP, SOAR.
CTT Threat Feed также можно использовать в решениях NGFW для блокировки актуальных угроз непосредственно на периметре вашей сети.
Интеграция CTT Thread Feed с MaxPatrol SIEM реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.
Интеграция CTT Thread Feed с ArcSight ESM/Logger реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.
Интеграция CTT Thread Feed с Qradar SIEM реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.
R-Vision SOAR имеет интеграцию с CTT Threat Feed как через R-Vision TIP, так и через отдельный сервис, устанавливаемый локально и доступный в нашем репозитории GitHub.
R-Vision TIP имеет нативную интеграцию с CTT Threat Feed, реализованную непосредственно в самом решении.
Palo Alto Cortex XSOAR интегрирован с CTT Threat Feed через специализированное приложение, доступное в магазине производителя решения.
SecurityVision TIP имеет нативную интеграцию с CTT Threat Feed, реализованную непосредственно в самом решении.
Splunk интегрирован с CTT Threat Feed через специализированное приложение, доступное в магазине производителя решения.
Fortinet Fortigate интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.
UserGate NGFW интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.
Cisco Firepower интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.
Palo Alto NGFW интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.
Интеграция CTT Thread Feed с Kaspersky CyberTrace реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.
Интеграция CTT Thread Feed с Elastic SIEM осуществляется через Elastic Filebeat agent.
СTT Thread Feed имеет интеграцию с MISP через специализированный скрипт, запускаемый локально, и доступный в нашем репозитории на GitHub.