CTT Threat Feed

Глобальная база знаний об актуальных угрозах

Сервис CTT Threat Feed собирает актуальную информацию об угрозах из всех доступных открытых источников Threat Intelligence. Собранные данные нормализуются, фильтруются, обогащаются, ранжируются и передаются вашей команде безопасности, либо загружаются в ваши решения по безопасности в поддерживаемом ими формате.

Основные преимущества

activity 1

Сбор индикаторов компрометации (IoC) из множества открытых источников.

 

Dimond_alt_duotone

Обширный контекст для каждого IoC.

Chield_check_duotone_line

Упор на снижение показателей ложных срабатываний (TP/FP).

260+

Источников

250k/день

Уникальных IoC

30k+/день

IoC с атрибуцией

20+

Категорий угроз

0-100

Уровень опасности

9 Млн

Уникальных IoC в год

CTT Threat Feed включает все основные типы IoC, которые необходимы для обнаружения и предотвращения кибератак.

Описание Преимущества
IP feed Список IP-адресов, которые замечены в использовании киберпреступниками (например, серверы C2) Помогает предотвратить: участие в ботнетах, коммуникации с серверами шифровальщиков, массовые сканирования портов, зондирование и т. д.
Domain feed Список вредоносных доменов Помогает предотвратить: попытки фишинга, утечку данных, загрузку программ-вымогателей
URL feed Список вредоносных URL Помогает предотвратить загрузку пользователями вредоносного контента и посещение фишинговых ресурсов
Hash feed Список вредоносных контрольных сумм файлов (MD5, SHA1, SHA256) Помогает предотвратить: загрузку вымогателей, вредоносных программ, шпионских программ, клавиатурных шпионов, RAT и т.д.

CTT Threat Feed — это наиболее полный источник информации о киберугрозах. Наша платформа анализа угроз собирает данные из множества различных источников, нормализует их, фильтрует ненужную информацию, обогащает дополнительным контекстом и присваивает каждому IoC показатель уровня опасности. Это позволяет нашим клиентам быстро и легко получать доступ к самой актуальной и точной информации о киберугрозах.

Наш фид доступен через REST API и имеет множество встроенных интеграций с популярными классами систем защиты: SIEM, SOAR, TIP, а также межсетевыми экранами нового поколения (NGFW). Это позволяет легко включать наши данные об угрозах в существующую инфраструктуру безопасности и рабочие процессы.

Наши ключевые отличия

tag cloud
Нормализация и фильтрация при сборе индикатора
  • все IoC и контекст приведены к единой форме
  • все названия вредоносных программ приведены к единой схеме
  • фид очищен от потенциальных ложных срабатываний
Обогащение контекстом
  • все IoC содержат теги, описывающие роль во вредоносной активности
  • привязка IoC к индустрии
  • связь с CVE
  • дополнительная информация, полезная при расследовании
  • ссылки на первоисточники, приславшие индикатор
Легкость в применении
  • различные варианты использования: полная выгрузка фида, запрос данных по конкретному IoC через REST API
  • готовая интеграция с популярными решениями класса SIEM, TIP, SOAR, NGFW
Структура фида

Необходимо больше деталей?

Скачайте описание сервиса.

Datasheet-CTT-TF.pdf

Готовые интеграции

CTT Threat Feed имеет готовые интеграции с наиболее распространенными решениями SIEM, TIP, SOAR.

CTT Threat Feed также можно использовать в решениях NGFW для блокировки актуальных угроз непосредственно на периметре вашей сети.

Maxpatrol SIEM

Интеграция CTT Thread Feed с MaxPatrol SIEM реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.

ArcSight ESM/Logger

Интеграция CTT Thread Feed с ArcSight ESM/Logger реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.

IBM Qradar SIEM

Интеграция CTT Thread Feed с Qradar SIEM реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.

R-Vision SOAR

R-Vision SOAR имеет интеграцию с CTT Threat Feed как через R-Vision TIP, так и через отдельный сервис, устанавливаемый локально и доступный в нашем репозитории GitHub.

GitHub
R-Vision TIP

R-Vision TIP имеет нативную интеграцию с CTT Threat Feed, реализованную непосредственно в самом решении.

Palo Alto Cortex XSOAR

Palo Alto Cortex XSOAR интегрирован с CTT Threat Feed через специализированное приложение, доступное в магазине производителя решения.

Marketplace
SecurityVision TIP

SecurityVision TIP имеет нативную интеграцию с CTT Threat Feed, реализованную непосредственно в самом решении.

Splunk Enterprise

Splunk интегрирован с CTT Threat Feed через специализированное приложение, доступное в магазине производителя решения.

SplunkBase
Fortinet FortiGate

Fortinet Fortigate интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.

UserGate NGFW

UserGate NGFW интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.

Cisco Firepower

Cisco Firepower интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.

Palo Alto NGFW

Palo Alto NGFW интегрирован с CTT Threat Feed через наше специализированное API, отдающее данные в формате, понятном данному решению.

Kaspersky CyberTrace

Интеграция CTT Thread Feed с Kaspersky CyberTrace реализована через собственный агент CTT Downloder. Также агент позволяет фильтровать индикаторы по уровню опасности, тегам и набору полей до их загрузки в продукт.

Elastic SIEM

Интеграция CTT Thread Feed с Elastic SIEM осуществляется через Elastic Filebeat agent.

MISP

СTT Thread Feed имеет интеграцию с MISP через специализированный скрипт, запускаемый локально, и доступный в нашем репозитории на GitHub.

GitHub

Структура CTT Threat Feed

IP feed
IP feed 

{
  {
  "ip": {
    "v4": "11.11.11.11",
    "num": "237077948"      - IPv4 в формате UInt32
  },
  "ports": [12325, 31337],  - порты вредоносных сервисов
  "fseen": 1569715200,      - timestamp первого появления
  "lseen": 1569801600,      - timestamp последнего появления
  "collect": 1571184000,    - timestamp сбора
  "src": {
    "name": "tireport"      - название источника IoC
    "report": "url"         - URL источника IoC
  }
  "tags": {                 - категория индикатора
    "str": [
      "shellprobe",
      "botnet"
    ],
  },
  "cve": "",                   - связь с CVE
  "industry": "helthcare",     - в каких секторах экономики наблюдался IoC
  "threat": ["malware_name"],  - атрибуция с группировкой/ВПО/хакерской утилитой
  "score": {                   - уровень опасности
    "total": 66,               - итоговый уровень
    "src": 81.94,              - доверие к источникам
    "tags": 0.83,              - уровень опасности по контексту
    "frequency": 0.98          - частота появления IoC
  },
  "fp": {                      - вероятного ложного срабатывания
    "alarm": "false",          - флаг "false"/"true"
    "descr": ""                - описание причины выставления флага
  },
  "asn": {
    "num": 4766,            - номер ASN
    "firstip": {
      "netv4": "14.32.0.0", - начало диапазона IP ASN
      "num": "236978176"    - IPv4 в формате UInt32
    },
    "lastip": {
      "netv4": "14.33.166.39", - окончание диапазона IP ASN
      "num": "237086247"       - IPv4 в формате UInt32
    },
    "cloud": "",               - название облачного провайдера, или CDN (AWS, GCP и т.д.)
    "domains": 480010,         - кол-во доменов, зарегистрированных в ASN
    "org": "Korea Telecom",    - владелец ASN
    "isp": "KIXSASKR"          - владелец ASN
  },
  "geo": {                     - Геоданные
    "city": "Suwon",
    "country": "South Korea",
    "region": "Gyeonggido"
  },
  "related": {
    "domains": ["example.com"]  - связанные вредоносные домены
  }
}
Domain feed
URL feed
Hash feed