решениями классов: SIEM, SOAR и TIP
Публичные DNS, и т.д. Легитимные: IP-адреса, Доменные имена, URL и Hash файлов
CTT Noise Control может быть интегрирован с различными решениями SIEM, SOAR и TIP. В SIEM и SOAR его можно использовать для прекращения оповещения об индикаторах, которые были ошибочно добавлены в качестве IoC любыми другими поставщиками CTI. CTT Noise Control будет особенно полезен тем, что сам собираем и анализирует IoC, полученные из открытых источниках (Community driven CTI, или Open Source CTI).
Снижает количество ложных срабатываний при обнаружении в режиме реального времени
Снижает нагрузку на SOC за счет фильтрации нерелевантных данных и ложных индикаторов, полученных из любых источников
Повышает эффективность работы, экономя драгоценное время аналитиков при управлении инцидентами
{
"value": "1.1.1.1",
"type": "ip",
"benign": "true",
"reason": "Well-known Public DNS Server"
}
Интеграция CTT Thread Feed с PT MaxPatrol SIEM реализована через собственное ПО CTT Downloder. Также ПО позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт. Интеграция с PT Threat Analyzer реализована нативно.
R-Vision SOAR имеет интеграцию с CTT Threat Feed как через R-Vision TIP, так и через отдельный сервис, устанавливаемый локально и доступный в нашем репозитории GitHub.
SecurityVision TIP имеет нативную интеграцию с CTT Threat Feed и CTT Report Hub.
Универсальная платформа для сбора и анализа машинных данных, которая позволяет решать практические задачи в области информационной безопасности, мониторинга ИТ-инфраструктуры и анализа бизнес-процессов. Smart Momitor имеет нативную интеграцию с CTT Threat Feed и CTT Report Hub
UserGate NGFW интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.
В рамках расширенной поддержки NGFW Континент доступна нативная поддержка CTT Threat Feed.
Интеграция CTT Thread Feed с Kaspersky CyberTrace реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.
Интеграция CTT Thread Feed с ArcSight ESM/Logger реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.
R-Vision TIP имеет нативную интеграцию с CTT Threat Feed, реализованную непосредственно в самом решении.
Splunk интегрирован с CTT Threat Feed через специализированное приложение, доступное в магазине производителя решения.
Cisco Firepower интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.
Интеграция CTT Thread Feed с Elastic SIEM осуществляется через Elastic Filebeat agent.
Интеграция CTT Thread Feed с Qradar SIEM реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.
Palo Alto Cortex XSOAR интегрирован с CTT Threat Feed через специализированное приложение, доступное в магазине производителя решения.
Fortinet Fortigate интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.
Palo Alto NGFW интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.
СTT Thread Feed имеет интеграцию с MISP через специализированный скрипт, запускаемый локально, и доступный в нашем репозитории на GitHub.
Open CTI имеет нативную интеграцию с сервисами CTT Threat Feed, CTT Report Hub, CTT Noise Control.