ctt / ctt_noise_control_connector
CI/CD
Реестр контейнеров и пакетов
gitflic-sync-bot
Sync 6.9.29
4 дня назад История
README.md

Cyber Threat Tech Noise Control коннектор для OpenCTI

Статус Дата Комментарий
Проверено партнёром - -

Содержание

Введение

CTT Noise Control – API выявления потенциально ложно-положительных (FP) индикаторов. Ключевые особенности:

  • Проверка по более чем 100 спискам исключений
  • Анализ на основе статистики из Online-песочниц

Состав:

  • Название списка, в котором найден индикатор
  • Вердикт: однозначно FP/потенциальный FP

Одной из постоянных проблем, с которыми сталкиваются аналитики SOC, является обнаружение ложных срабатываний вредоносных программ. Обилие технических данных CTI часто выливается в достаточно трудоемкий процесс анализа угроз, поскольку эксперты должны проверять подлинность различных индикаторов компрометации (IOC), предоставляемых различными средствами защиты. Отсеивая нерелевантные IOC и идентифицируя “заведомо легитимное” программное обеспечение, файлы и сетевые ресурсы, CTT Noise Control упрощает процесс анализа.

Установка

Требования

  • Платформа OpenCTI >= 6.0.0
  • API-ключ Cyber Threat Tech (Получить можно написав на почту info@cyberthreattech.ru)
  • Сетевой доступ к API Cyber Threat Tech

Конфигурация

Настройка коннектора не вызывает сложностей. Для минимальной конфигурации требуется указать API-ключ Cyber Threat Tech и параметры подключения к OpenCTI.

Конфигурация OpenCTI

Параметр Переменная Docker Обязательный Описание
opencti_url OPENCTI_URL Да URL платформы OpenCTI
opencti_token OPENCTI_TOKEN Да Токен администратора по умолчанию, настроенный в OpenCTI

Базовая конфигурация коннектора

Параметр Переменная Docker Обязательный Описание
connector_id CONNECTOR_ID Да Корректный произвольный UUIDv4, уникальный для этого коннектора
connector_name CONNECTOR_NAME Да Имя экземпляра коннектора
connector_scope CONNECTOR_SCOPE Да Поддерживается: IPv4-Addr,Domain-Name,Url,StixFile,indicator
connector_auto CONNECTOR_AUTO Нет Включает/отключает автообогащение
connector_log_level CONNECTOR_LOG_LEVEL Да Уровень логирования (debug, info, warn, error)

Конфигурация Cyber Threat Tech Noise Control

Параметр Переменная Docker Обязательный Описание
ctt_noise_control_api_key CTT_NOISE_CONTROL_API_KEY Да API-ключ Cyber Threat Tech
ctt_noise_control_base_url CTT_NOISE_CONTROL_BASE_URL Нет Базовый URL API (по умолчанию: )
ctt_noise_control_max_tlp CTT_NOISE_CONTROL_MAX_TLP Нет Максимальный TLP (по умолчанию: TLP:AMBER+STRICT)
ctt_noise_control_update_confidence CTT_NOISE_CONTROL_UPDATE_CONFIDENCE Нет Обновлять confidence по результату проверки
ctt_noise_control_update_score CTT_NOISE_CONTROL_UPDATE_SCORE Нет Обновлять score по результату проверки
ctt_noise_control_change_action_score_change CTT_NOISE_CONTROL_CHANGE_ACTION_SCORE_CHANGE Нет Уменьшение score для действия "Change" (по умолчанию: 10)
ctt_noise_control_drop_action_score_change CTT_NOISE_CONTROL_DROP_ACTION_SCORE_CHANGE Нет Уменьшение score для действия "Drop" (по умолчанию: 50)
ctt_noise_control_drop_action_detection_flag CTT_NOISE_CONTROL_DROP_ACTION_DETECTION_FLAG Нет Сбрасывать флаг детектирования для Drop (по умолчанию: true)

Развёртывание

Развёртывание в Docker

Соберите Docker-образ с помощью предоставленного Dockerfile.

Пример docker-compose.yml:

version: '3'
services:
  connector-ctt-noise-control:
    image: connector-ctt-noise-control:latest
    environment:
      - OPENCTI_URL=http://localhost
      - OPENCTI_TOKEN=ChangeMe
      - CONNECTOR_ID=ChangeMe
      - CONNECTOR_NAME=Cyber Threat Tech Noise Control
      - CONNECTOR_SCOPE=IPv4-Addr,Domain-Name,Url,StixFile,indicator
      - CONNECTOR_AUTO=false
      - CONNECTOR_LOG_LEVEL=error
      - CTT_NOISE_CONTROL_BASE_URL=https://api.rstcloud.net/v1
      - CTT_NOISE_CONTROL_API_KEY=ChangeMe
      - CTT_NOISE_CONTROL_MAX_TLP=TLP:AMBER+STRICT
      - CTT_NOISE_CONTROL_UPDATE_CONFIDENCE=true
      - CTT_NOISE_CONTROL_UPDATE_SCORE=true
      - CTT_NOISE_CONTROL_CHANGE_ACTION_SCORE_CHANGE=10
      - CTT_NOISE_CONTROL_DROP_ACTION_SCORE_CHANGE=50
      - CTT_NOISE_CONTROL_DROP_ACTION_DETECTION_FLAG=true
    restart: always

Ручное развёртывание

  1. Клонируйте репозиторий
  2. Скопируйте config.yml.sample в config.yml и выполните настройку
  3. Установите зависимости: pip install -r requirements.txt
  4. Запустите коннектор

Использование

Коннектор уменьшает количество ложных срабатываний за счёт следующих действий:

  1. Проверяет индикаторы по базе Cyber Threat Tech Noise Control
  2. Выявляет безопасные или шумовые значения
  3. Корректирует score на основе найденных результатов
  4. При необходимости снимает флаг детектирования

Запуск обогащения:

  • Вручную через интерфейс OpenCTI
  • Автоматически, если CONNECTOR_AUTO=true
  • Через playbooks

Поведение

Поток данных

flowchart LR
    A[Наблюдаемый объект/индикатор] --> B[Cyber Threat Tech Noise Control]
    B --> C{Cyber Threat Tech API}
    C --> D{Действие?}
    D -->|Not Found| E[Без изменений]
    D -->|Change| F[Уменьшить score на M]
    D -->|Drop| G[Уменьшить score на N]
    G --> H[Снять флаг детектирования]
    F --> I[OpenCTI]
    G --> I
    E --> I

Действия

Действие Описание Изменение score по умолчанию
Not Found Значение не помечено как шумовое Без изменений
Change Значение может быть шумовым Уменьшить score на 10
Drop Значение, вероятно, безопасно Уменьшить score на 50

Детали обработки

  1. Уменьшение score: Значения score уменьшаются на настроенную величину, но не ниже 0
  2. Флаг детектирования: Когда действие имеет значение “Drop” и ctt_noise_control_drop_action_detection_flag=true, флаг детектирования снимается
  3. Список доверенной фильтрации: Добавляйте доверенные источники IoC в список фильтрации, чтобы избежать вызовов API для заведомо надёжных источников

Отладка

Включите режим отладки, установив CONNECTOR_LOG_LEVEL=debug, чтобы видеть:

  • Подробности запросов и ответов API
  • Принятые решения по действиям
  • Расчёты корректировки score

Дополнительная информация

Сценарии использования

  • Снижение усталости от алертов: Автоматически понижает score для распространённых безопасных индикаторов
  • Повышение точности детектирования: Снимает флаги детектирования для ложных индикаторов
  • Приоритизация реальных угроз: Помогает аналитикам сосредоточиться на реальных угрозах
Описание
CTT Noise Control connector для OpenCTI
cyberthreat.tech/ctt-noise-control/
Readme
0 Форки
0 Звезд
0 Наблюдатели
Посмотреть файловое дерево
Конвейеры
8 успешных
0 с ошибкой
Разработчики