🛡️ Технологии Киберугроз
Threat Intelligence Solutions
Глобальная база знаний об актуальных киберугрозах
Более 260 открытых источников знаний о киберугрозах, включая Twitter, Telegram, онлайн-песочницы и TI-отчёты.
250К+ индикаторов компрометации в день, подготовленных к использованию в вашем SIEM, SOAR, TIP или NGFW.
📊 Ключевые показатели
| 🔍 Источников | 🏷️ Категорий угроз | 📈 IoC в день | ⚠️ Уровень опасности | 🎯 IoC с атрибуцией/день | 📅 IoC в год |
|---|---|---|---|---|---|
| 260+ | 20+ | 260 000+ | 0–100 | 30 000+ | 9 000 000+ |
🎯 Миссия
Наша миссия — помочь клиентам начать использовать открытые источники знаний о киберугрозах. Мы берём на себя все методологические и технические проблемы предобработки данных, полученных из открытых источников.
Наша платформа:
- Собирает индикаторы компрометации из сотен открытых источников
- Нормализует и фильтрует нерелевантные данные
- Обогащает IoC всесторонним контекстом
- Ранжирует каждый индикатор по уровню опасности
- Доставляет данные в вашу инфраструктуру безопасности
📦 Продукты
🔴 CTT Threat Feed
Сервис для получения актуальных индикаторов компрометации из сотен открытых источников Threat Intelligence. Данные нормализуются, фильтруются, обогащаются и ранжируются по уровню опасности.
Поддерживаемые типы IoC:
| Тип | Описание | Защита от |
|---|---|---|
| IP Feed | Вредоносные IP-адреса (серверы C2 и др.) | Ботнеты, шифровальщики, сканирования портов |
| Domain Feed | Вредоносные доменные имена | Фишинг, утечки данных, загрузка ransomware |
| URL Feed | Вредоносные URL-адреса | Загрузка вредоносного контента, фишинговые ресурсы |
| Hash Feed | MD5 / SHA1 / SHA256 хэши файлов | RAT, spyware, keylogger, ransomware |
Ключевые особенности:
- Обогащение контекстом: теги угроз, привязка к индустрии, связь с CVE, APT-группировки
- Алгоритмическое ранжирование опасности (0–100)
- Механизм снижения ложных срабатываний
- Доступ через REST API и готовые интеграции
📋 CTT Report Hub
Автоматизированная обработка Threat Intelligence отчётов с применением ML и AI для извлечения ключевых данных и конвертации в формат STIX.
Статистика:
| 📄 TI-отчётов в год | 📁 Форматы данных | 🗄️ Хранилище |
|---|---|---|
| 2000+ | PDF · Simple JSON · STIX | Централизованное |
Для кого:
- Специалисты по TI — централизованный доступ к актуальным отчётам
- Аналитики SOC — быстрое выявление инцидентов
- Threat Hunters — разведывательная информация для расследований
- IR-команды — идентификация и локализация угроз
- Группы управления рисками — анализ ландшафта угроз
🔇 CTT Noise Control
Сервис фильтрации «заведомо легитимных» сетевых ресурсов, ПО и файлов для устранения ложных срабатываний в TIP, SIEM, SOAR и XDR.
Возможности:
| 📋 Списков исключений | 🔗 Интеграции | ⚙️ Алгоритмы |
|---|---|---|
| 110+ | SIEM · SOAR · TIP | Эвристика на основе песочниц и приманок |
Покрытие: IP-адреса, домены, URL и хэши файлов для серверов обновлений ОС, CDP, CDN, публичных DNS и других легитимных ресурсов.
🔍 CTT WHOIS
Сервис предоставляет разобранные и нормализованные WHOIS-данные по доменному имени в готовом к использованию JSON-формате. Позволяет обогащать данные без риска блокировки на WHOIS-серверах.
{
"status": "registered",
"registered?": "true",
"created_on": "2022-01-01 00:00:00",
"expires_on": "2023-01-01 00:00:00",
"age": 365,
"registrar": "Registrar Name",
"nameservers": "ns1.domain.com,ns2.domain.com"
}
⬇️ CTT Downloader
Программное обеспечение для работы с индикаторами компрометации. Обеспечивает взаимодействие с облачными сервисами CTT через REST API и представление данных в удобных форматах.
✅ Включён в реестр отечественного ПО (№ 18196)
Функциональность:
- Загрузка IoC через REST API
- Конвертирование в форматы JSON и CSV
- Фильтрация по полям, тегам и уровню опасности
- Сохранение данных на локальный диск
🗂️ CTT Threat KB
Сталкиваясь с киберугрозой, ИБ-специалистам важно быстро понять, насколько данная угроза опасна, каково её поведение и предполагаемые последствия от её реализации. Чаще всего, имея на руках только название группировки или ВПО, ответы на эти вопросы специалист вынужден искать через поисковые системы, затрачивая значительное время на множество статей, заметок и аналитических отчётов.
CTT Threat KB — это консолидированная база всех киберугроз, описание которых появляется в сети Интернет. Мы автоматически собираем, пересекаем и взаимообогащаем всю информацию по каждой киберугрозе, появляющуюся в Cyber Threat Intelligence отчётах стратегического, тактического и операционного уровней. Отслеживая более 180 CTI-источников отчётов, мы автоматически перестраиваем описание киберугроз с учётом новой информации. Все собранные описания поставляются в формате STIX 2.1 как через REST API, так и по протоколу TAXII — данные полностью передаются на сторону клиента и доступны в режиме offline, а любые изменения оперативно доставляются по TAXII.
CTT Threat KB — API для доступа к описанию киберугроз, собранных со всего мира.
Ключевые особенности:
- 180+ источников для построения описаний киберугроз (в основе данные из CTT Report Hub)
- Текущий объём базы: 7 040+ ВПО · 989 хакерских утилит · 1 340 группировок · 380 кампаний
- Offline-доступ ко всем данным
- Автоматическое перестроение описаний киберугроз
- Оперативная доставка изменений по TAXII
- Описания киберугроз на русском и английском языках
- Список всех CTI-отчётов, на основе которых построено описание
- Совместная работа с сервисами CTT Threat Feed и CTT Report Hub
- API для анализа текста и извлечения из него названий киберугроз
Состав:
- STIX-бандл с описанием киберугрозы на русском и английском языках
- Ссылки на все отчёты с упоминанием каждой киберугрозы
- API для полной выгрузки базы знаний на сторону клиента
- API для извлечения из текста названий киберугроз
🚨 CTT Incident Hub
Формируя стратегию кибербезопасности и оценивая киберриски, необходимо отталкиваться от исторического опыта по уже произошедшим инцидентам и тем последствиям, к которым они привели. CTT Incident Hub позволяет учиться на чужих ошибках.
CTT Incident Hub — агрегатор информации о киберинцидентах, происходящих в мире. Сервис предназначен для сбора публичной информации об утечках и взломах. Он не просто собирает новости, но и анализирует их, выделяя атакованную компанию, атакующего и нанесённый ущерб. По каждой атакованной компании собирается информация о странах и отраслях присутствия, размере штата и торгуется ли она на бирже. Имея историческую подборку таких сведений, можно в любой момент сделать глобальный срез по инцидентам с похожими компаниями и увидеть, к каким последствиям они приводили.
CTT Incident Hub — API для доступа к архиву публичных киберинцидентов, собранных со всего мира.
Ключевые особенности:
- Информация по публичным взломам и утечкам в компаниях
- Выделение объекта атаки: название, страна регистрации, отрасли, размер штата, налоговый номер, тикер на бирже
- Выделение атакующего и формирование описания его профиля (совместно с CTT Threat KB)
- Формализация последствий киберинцидентов в виде категорий
- Оценка уровня критичности киберинцидента
- Offline-доступ ко всем данным
Состав:
- STIX-бандл с описанием киберинцидента на русском и английском языках
- API для выгрузки исторических данных
🔍 CTT IoC Lookup
CTT IoC Lookup предоставляет доступ к комплексному обогащению отдельных индикаторов компрометации через единый API Cyber Threat Tech. Сервис проверяет IP-адреса, домены, URL-адреса и хеш-значения, дополняя их историческими и контекстными данными: связью с угрозами и APT-группами, категориями вредоносной активности, TTP, CVE, связанными индикаторами, ASN, геолокацией, WHOIS и внешними источниками. Для каждого IoC рассчитывается индивидуальная оценка риска, а механизмы нормализации и фильтрации помогают снижать количество ложных срабатываний и быстрее принимать решение о необходимости детектирования.
Ключевые особенности:
- Обогащение IP-адресов, доменов, URL и хеш-значений через единый API
- Предоставление контекста по IoC: угрозы, APT-группы, TTP, CVE, связанные индикаторы и категории вредоносной активности
- Индивидуальная оценка риска для каждого IoC по модели 0–100 с учётом источников, тегов и частоты наблюдений
- Нормализация индикаторов, названий угроз и APT-групп для единообразного представления данных
- Фильтрация известных легитимных объектов и ложных срабатываний
- Обогащение сетевыми и регистрационными данными: ASN, геолокация, DNS, WHOIS и HTTP-статус
- Поддержка исторических данных по индикаторам, включая время первого и последнего обнаружения
- Быстрая интеграция с TIP, SOAR, SIEM, EDR, XDR, NGFW и WAF-решениями
🔗 OpenCTI Connectors
Набор готовых коннекторов для интеграции всех сервисов CyberThreatTech с платформой OpenCTI. Все коннекторы разработаны на Python, поддерживают развёртывание через Docker и проверены партнёрами. Исходный код доступен в репозитории организации на GitFlic.
Требования: OpenCTI Platform версии 6.x или выше · Python 3.12+ · Docker & Docker Compose · API-ключ CTT
| Коннектор | Репозиторий | Docker-образ |
|---|---|---|
| CTT Threat Feed | ctt_threat_feed_connector | connector-ctt-threat-feed |
| CTT Report Hub | ctt_report_hub_connector | connector-ctt-report-hub |
| CTT Noise Control | ctt_noise_control_connector | connector-ctt-noise-control |
| CTT IoC Lookup | ctt_ioc_lookup_connector | connector-ctt-ioc-lookup |
| CTT WHOIS API | ctt_whois_api_connector | connector-ctt-whois-api |
| CTT ThreatKB | ctt_threatkb_connector | connector-ctt-threatkb |
| CTT Incident Hub | ctt_incidenthub_connector | connector-ctt-incident-hub |
Реестр образов:
registry.gitflic.ru· Все образы доступны с тегомlatestdocker pull registry.gitflic.ru/project/ctt/<repo>/<image-name>:<image-tag>
📡 CTT Threat Feed Connector
Импортирует индикаторы компрометации (IP, Domain, URL, Hash) вместе со связями с вредоносным ПО, TTP, инструментами, группами угроз, секторами и CVE из CTT Threat Feed прямо в OpenCTI.
Ключевые особенности:
- Импорт всех типов IoC с полным контекстом атрибуции
- Настраиваемый порог уровня опасности для фильтрации импортируемых индикаторов
- Поддержка импорта только новых индикаторов
- Связи с APT-группировками, семействами ВПО, TTP (MITRE ATT&CK), CVE и секторами
📰 CTT Report Hub Connector
Импортирует Threat Intelligence отчёты со всего мира в OpenCTI. Благодаря AI-обработке каждый отчёт содержит краткое изложение ключевых идей и преобразован в формат STIX 2.1.
Ключевые особенности:
- Автоматический импорт тактических и операционных TI-отчётов
- AI-генерируемое summary, facts и idea для каждого отчёта
- Связи с группами угроз, кампаниями, вредоносным ПО, TTP, инструментами, CVE и IoC
- Доступ к историческим отчётам, в том числе удалённым из оригинальных источников
🔇 CTT Noise Control Connector
Коннектор для автоматического выявления ложноположительных (FP) индикаторов в OpenCTI. Проверяет IoC по 100+ спискам исключений и эвристическим алгоритмам на основе данных онлайн-песочниц.
Ключевые особенности:
- Проверка по более чем 100 спискам исключений легитимных ресурсов
- Анализ на основе статистики из онлайн-песочниц и приманок
- Вердикт: однозначно FP / потенциальный FP с указанием названия списка
- Снижает нагрузку на SOC за счёт фильтрации нерелевантных данных
🔍 CTT IoC Lookup Connector
Коннектор обогащения для точечной проверки отдельных индикаторов через единый API CTT. Проверяет IP-адреса, домены, URL и хэш-значения, дополняя их историческими и контекстными данными.
Ключевые особенности:
- Обогащение через единый API: IP, домены, URL, хэши
- Контекст по IoC: угрозы, APT-группы, TTP, CVE, связанные индикаторы, категории активности
- Индивидуальная оценка риска (0–100) с учётом источников, тегов и частоты наблюдений
- Сетевые и регистрационные данные: ASN, геолокация, DNS, WHOIS, HTTP-статус
- Поддержка исторических данных — время первого и последнего обнаружения
- Быстрая интеграция с TIP, SOAR, SIEM, EDR, XDR, NGFW и WAF
🌐 CTT WHOIS API Connector
Коннектор обогащения доменов WHOIS-данными. Получает информацию напрямую от WHOIS-серверов, разбирает ответы и предоставляет структурированные данные в JSON-формате — без риска блокировки.
Состав данных: регистратор домена · возраст домена · дата регистрации и обновления · «сырой» ответ от WHOIS-сервера
Производительность: до 200 000 запросов/сутки
🗂️ CTT ThreatKB Connector
Импортирует консолидированную базу знаний о киберугрозах из CTT Threat KB в OpenCTI в формате STIX 2.1. Автоматически перестраивает описания угроз по мере появления новой информации из 180+ CTI-источников.
База знаний включает:
| 📦 ВПО | 🛠️ Хакерских утилит | 👥 Группировок | 🎯 Кампаний |
|---|---|---|---|
| 7 000+ | 989 | 1 340 | 380 |
Ключевые особенности:
- Описания киберугроз на русском и английском языках
- Автоматическое перестроение описаний с учётом новых данных
- Оперативная доставка изменений по TAXII
- Совместная работа с CTT Threat Feed и CTT Report Hub
- API для анализа текста и извлечения названий киберугроз
- Список всех CTI-отчётов, на основе которых построено описание
🚨 CTT Incident Hub Connector
Импортирует данные о публично известных киберинцидентах в OpenCTI. CTT Incident Hub — агрегатор информации об утечках и взломах компаний со всего мира, анализирующий атакующих и нанесённый ущерб.
Данные об атакованной компании:
- Страны и отрасли присутствия, размер штата
- Налоговый номер, тикер на бирже
Дополнительно:
- Выделение атакующего и описание его профиля (совместно с CTT Threat KB)
- Формализация последствий киберинцидентов в виде категорий
- Оценка уровня критичности инцидента
- STIX-бандл с описанием на русском и английском языках
- Offline-доступ ко всем данным · API для выгрузки исторических данных
🐳 CTT OpenCTI Full Setup
Демонстрационный репозиторий для быстрого развёртывания полного стека OpenCTI с подключёнными коннекторами CTT. Содержит готовую конфигурацию Docker Compose, порядок запуска и детальные параметры каждого коннектора.
Включает публичные коннекторы: MITRE ATT&CK · OpenCTI Datasets · CISA Known Exploited Vulnerabilities
Включает CTT коннекторы: ThreatKB · Report Hub · Incident Hub · Threat Feed · Noise Control · IoC Lookup · WHOIS API
# Быстрый старт
git clone https://gitflic.ru/project/ctt/ctt_opencti_full_setup.git
cp .env.example .env # Заполните API-ключи CTT
docker compose up -d
🔌 Готовые интеграции
SIEM
| Решение | Тип интеграции |
|---|---|
| PT MaxPatrol SIEM | CTT Downloader |
| Splunk Enterprise | Приложение на SplunkBase |
| Elastic SIEM | Elastic Filebeat agent |
| IBM QRadar SIEM | CTT Downloader |
| ArcSight ESM/Logger | CTT Downloader |
TIP
| Решение | Тип интеграции |
|---|---|
| R-Vision TIP | Нативная |
| SecurityVision TIP | Нативная (Threat Feed + Report Hub) |
| PT Threat Analyzer | Нативная |
| Smart Monitor | Нативная (Threat Feed + Report Hub) |
| MISP | GitHub-скрипт |
| OpenCTI | Нативная — 7 коннекторов · GitFlic |
SOAR
| Решение | Тип интеграции |
|---|---|
| R-Vision SOAR | Через R-Vision TIP или отдельный сервис |
| Palo Alto Cortex XSOAR | Marketplace |
NGFW
| Решение | Тип интеграции |
|---|---|
| UserGate NGFW | Специализированное API |
| Континент (Код Безопасности) | Нативная |
| Cisco Firepower | Специализированное API |
| Fortinet FortiGate | Специализированное API |
| Palo Alto NGFW | Специализированное API |
🤝 Авторизованные партнёры
| Партнёр | Сайт |
|---|---|
| Cloud Networks | cloudnetworks.ru |
| Jet Infosystems | jet.su |
| Security Vision | securityvision.ru |
| Axoft Global | axoftglobal.ru |
| Infosecurity | infosec.ru |
| Syssoft | syssoft.ru |
📬 Контакты
| 🌐 Сайт | cyberthreat.tech |
| 📧 Общие вопросы | info@cyberthreattech.ru |
| 🛠️ Техническая поддержка | support@cyberthreattech.ru |
| ⚡ Статус API | status.cyberthreattech.ru |
© 2025 Технологии Киберугроз · cyberthreat.tech