Глобальная база знаний об актуальных угрозах
Сервис CTT Threat Feed собирает актуальную информацию об угрозах из всех доступных открытых источников Threat Intelligence. Собранные данные нормализуются, фильтруются, обогащаются, ранжируются и передаются вашей команде безопасности, либо загружаются в ваши решения по безопасности в поддерживаемом ими формате.
Основные преимущества
Сбор индикаторов компрометации (IoC) из множества открытых источников.
Обширный контекст для каждого IoC.
Упор на снижение показателей ложных срабатываний (TP/FP).
260+
Источников
250k/день
Уникальных IoC
30k+/день
IoC с атрибуцией
20+
Категорий угроз
0-100
Уровень опасности
9 Млн
Уникальных IoC в год
CTT Threat Feed включает все основные типы IoC, которые необходимы для обнаружения и предотвращения кибератак.
| Описание | Преимущества | |
|---|---|---|
| IP feed | Список IP-адресов, которые замечены в использовании киберпреступниками (например, серверы C2) | Помогает предотвратить: участие в ботнетах, коммуникации с серверами шифровальщиков, массовые сканирования портов, зондирование и т. д. |
| Domain feed | Список вредоносных доменов | Помогает предотвратить: попытки фишинга, утечку данных, загрузку программ-вымогателей |
| URL feed | Список вредоносных URL | Помогает предотвратить загрузку пользователями вредоносного контента и посещение фишинговых ресурсов |
| Hash feed | Список вредоносных контрольных сумм файлов (MD5, SHA1, SHA256) | Помогает предотвратить: загрузку вымогателей, вредоносных программ, шпионских программ, клавиатурных шпионов, RAT и т.д. |
CTT Threat Feed — это наиболее полный источник информации о киберугрозах. Наша платформа анализа угроз собирает данные из множества различных источников, нормализует их, фильтрует ненужную информацию, обогащает дополнительным контекстом и присваивает каждому IoC показатель уровня опасности. Это позволяет нашим клиентам быстро и легко получать доступ к самой актуальной и точной информации о киберугрозах.
Наш фид доступен через REST API и имеет множество встроенных интеграций с популярными классами систем защиты: SIEM, SOAR, TIP, а также межсетевыми экранами нового поколения (NGFW). Это позволяет легко включать наши данные об угрозах в существующую инфраструктуру безопасности и рабочие процессы.
Наши ключевые отличия
Нормализация и фильтрация при сборе индикатора
- все IoC и контекст приведены к единой форме
- все названия вредоносных программ приведены к единой схеме
- фид очищен от потенциальных ложных срабатываний
Обогащение контекстом
- все IoC содержат теги, описывающие роль во вредоносной активности
- привязка IoC к индустрии
- связь с CVE
- дополнительная информация, полезная при расследовании
- ссылки на первоисточники, приславшие индикатор
Легкость в применении
- различные варианты использования: полная выгрузка фида, запрос данных по конкретному IoC через REST API
- готовая интеграция с популярными решениями класса SIEM, TIP, SOAR, NGFW
Необходимо больше деталей?
Скачайте описание сервиса.
Готовые интеграции
CTT Threat Feed имеет готовые интеграции с наиболее распространенными решениями SIEM, TIP, SOAR.
CTT Threat Feed также можно использовать в решениях NGFW для блокировки актуальных угроз непосредственно на периметре вашей сети.
Интеграция CTT Thread Feed с MaxPatrol SIEM реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.
Интеграция CTT Thread Feed с ArcSight ESM/Logger реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.
Интеграция CTT Thread Feed с Qradar SIEM реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.
Palo Alto NGFW интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.
R-Vision SOAR имеет интеграцию с CTT Threat Feed как через R-Vision TIP, так и через отдельный сервис, устанавливаемый локально и доступный в нашем репозитории GitHub.
R-Vision TIP имеет нативную интеграцию с CTT Threat Feed, реализованную непосредственно в самом решении.
Palo Alto Cortex XSOAR интегрирован с CTT Threat Feed через специализированное приложение, доступное в магазине производителя решения.
SecurityVision TIP имеет нативную интеграцию с CTT Threat Feed, реализованную непосредственно в самом решении.
Splunk интегрирован с CTT Threat Feed через специализированное приложение, доступное в магазине производителя решения.
Fortinet Fortigate интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.
Универсальная платформа для сбора и анализа машинных данных, которая позволяет решать практические задачи в области информационной безопасности, мониторинга ИТ-инфраструктуры и анализа бизнес-процессов.
UserGate NGFW интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.
Cisco Firepower интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.
Интеграция CTT Thread Feed с Kaspersky CyberTrace реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.
Интеграция CTT Thread Feed с Elastic SIEM осуществляется через Elastic Filebeat agent.
СTT Thread Feed имеет интеграцию с MISP через специализированный скрипт, запускаемый локально, и доступный в нашем репозитории на GitHub.
Структура CTT Threat Feed
{
{
"ip": {
"v4": "11.11.11.11",
"num": "237077948" - IPv4 в формате UInt32
},
"ports": [12325, 31337], - порты вредоносных сервисов
"fseen": 1569715200, - timestamp первого появления
"lseen": 1569801600, - timestamp последнего появления
"collect": 1571184000, - timestamp сбора
"src": {
"name": "tireport" - название источника IoC
"report": "url" - URL источника IoC
}
"tags": { - категория индикатора
"str": [
"shellprobe",
"botnet"
],
},
"cve": "", - связь с CVE
"industry": "helthcare", - в каких секторах экономики наблюдался IoC
"threat": ["malware_name"], - атрибуция с группировкой/ВПО/хакерской утилитой
"score": { - уровень опасности
"total": 66, - итоговый уровень
"src": 81.94, - доверие к источникам
"tags": 0.83, - уровень опасности по контексту
"frequency": 0.98 - частота появления IoC
},
"fp": { - вероятного ложного срабатывания
"alarm": "false", - флаг "false"/"true"
"descr": "" - описание причины выставления флага
},
"asn": {
"num": 4766, - номер ASN
"firstip": {
"netv4": "14.32.0.0", - начало диапазона IP ASN
"num": "236978176" - IPv4 в формате UInt32
},
"lastip": {
"netv4": "14.33.166.39", - окончание диапазона IP ASN
"num": "237086247" - IPv4 в формате UInt32
},
"cloud": "", - название облачного провайдера, или CDN (AWS, GCP и т.д.)
"domains": 480010, - кол-во доменов, зарегистрированных в ASN
"org": "Korea Telecom", - владелец ASN
"isp": "KIXSASKR" - владелец ASN
},
"geo": { - Геоданные
"city": "Suwon",
"country": "South Korea",
"region": "Gyeonggido"
},
"related": {
"domains": ["example.com"] - связанные вредоносные домены
}
}