Поставьте ложноположительные срабатывания под свой контроль
Одной из постоянных проблем, с которыми сталкиваются аналитики SOC, является обнаружение ложных срабатываний вредоносных программ. Обилие технических данных CTI часто выливается в достаточно трудоемкий процесс анализа угроз, поскольку эксперты должны проверять подлинность различных индикаторов компрометации (IOC), предоставляемых различными средствами защиты. Отсеивая нерелевантные IOC и идентифицируя "заведомо легитимное" программное обеспечение, файлы и сетевые ресурсы, CTT Noise Control упрощает процесс анализа.
Основные преимущества
Большое количество списков исключений для обнаружения ”заведомо легитимных" ресурсов
Реагирование в режиме реального времени через унифицированный REST API
Эвристические алгоритмы, основанные на данных из песочниц и приманок
110+ Списков исключений
API CTT Noise Control может быть интегрирована с различным
решениями классов: SIEM, SOAR и TIP
Сервера обновлений ОС, CDP, CDN,
Публичные DNS, и т.д.
Легитимные: IP-адреса, Доменные имена, URL и Hash файлов
Наши ключевые отличия

CTT Noise Control может быть интегрирован с различными решениями SIEM, SOAR и TIP. В SIEM и SOAR его можно использовать для прекращения оповещения об индикаторах, которые были ошибочно добавлены в качестве IoC любыми другими поставщиками CTI. CTT Noise Control будет особенно полезен тем, что сам собираем и анализирует IoC, полученные из открытых источниках (Community driven CTI, или Open Source CTI).

Снижает количество ложных срабатываний при обнаружении в режиме реального времени

Снижает нагрузку на SOC за счет фильтрации нерелевантных данных и ложных индикаторов, полученных из любых источников

Повышает эффективность работы, экономя драгоценное время аналитиков при управлении инцидентами

Узнать цену у партнёров
CTT Noise Control
Пример ответа REST API
{
  "value": "1.1.1.1",
  "type": "ip",
  "benign": "true",
  "reason": "Well-known Public DNS Server"
}
Авторизованные партнеры
Готовые интеграции
CTT Threat Feed имеет готовые интеграции с наиболее распространенными решениями SIEM, TIP, SOAR.

CTT Threat Feed также можно использовать в решениях NGFW для блокировки актуальных угроз непосредственно на периметре вашей сети.
Positive Technologies

Интеграция CTT Thread Feed с PT MaxPatrol SIEM реализована через собственное ПО CTT Downloder. Также ПО позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт. Интеграция с PT Threat Analyzer реализована нативно.

SOAR
R-Vision SOAR

R-Vision SOAR имеет интеграцию с CTT Threat Feed как через R-Vision TIP, так и через отдельный сервис, устанавливаемый локально и доступный в нашем репозитории GitHub.

GitHub
SecurityVision TIP

SecurityVision TIP имеет нативную интеграцию с CTT Threat Feed и CTT Report Hub.

Smart Monitor

Универсальная платформа для сбора и анализа машинных данных, которая позволяет решать практические задачи в области информационной безопасности, мониторинга ИТ-инфраструктуры и анализа бизнес-процессов. Smart Momitor имеет нативную интеграцию с CTT Threat Feed и CTT Report Hub

Показать еще
UserGate NGFW

UserGate NGFW интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.

Континент
Код Безопасности

В рамках расширенной поддержки NGFW Континент доступна нативная поддержка CTT Threat Feed.

Kaspersky CyberTrace

Интеграция CTT Thread Feed с Kaspersky CyberTrace реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.

ArcSight ESM/Logger

Интеграция CTT Thread Feed с ArcSight ESM/Logger реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.

TIP
R-Vision TIP

R-Vision TIP имеет нативную интеграцию с CTT Threat Feed, реализованную непосредственно в самом решении.

Splunk Enterprise

Splunk интегрирован с CTT Threat Feed через специализированное приложение, доступное в магазине производителя решения.

SplunkBase
Cisco Firepower

Cisco Firepower интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.

Elastic SIEM

Интеграция CTT Thread Feed с Elastic SIEM осуществляется через Elastic Filebeat agent.

IBM Qradar SIEM

Интеграция CTT Thread Feed с Qradar SIEM реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.

Palo Alto Cortex XSOAR

Palo Alto Cortex XSOAR интегрирован с CTT Threat Feed через специализированное приложение, доступное в магазине производителя решения.

Marketplace
Fortinet FortiGate

Fortinet Fortigate интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.

Palo Alto NGFW

Palo Alto NGFW интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.

MISP

СTT Thread Feed имеет интеграцию с MISP через специализированный скрипт, запускаемый локально, и доступный в нашем репозитории на GitHub.

GitHub
Open CTI

Open CTI имеет нативную интеграцию с сервисами CTT Threat Feed, CTT Report Hub, CTT Noise Control.

GitHub