Cyber Threat Tech Threat Feed коннектор для OpenCTI
| Статус | Дата | Комментарий |
|---|---|---|
| Проверено партнёром | - | - |
Коннектор Cyber Threat Tech Threat Feed импортирует индикаторы (IP, Domain, URL, Hash) со связями с вредоносным ПО, TTP, инструментами, группами угроз, секторами, CVE и другими объектами из Cyber Threat Tech в OpenCTI.
Описание
CTT Threat Feed — это наиболее полный источник информации о киберугрозах. Наша платформа анализа угроз собирает данные из множества различных источников, нормализует их, фильтрует ненужную информацию, обогащает дополнительным контекстом и присваивает каждому IoC показатель уровня опасности. Это позволяет нашим клиентам быстро и легко получать доступ к самой актуальной и точной информации о киберугрозах. Наш фид доступен через REST API и имеет множество встроенных интеграций с популярными классами систем защиты: SIEM, SOAR, TIP, а также межсетевыми экранами нового поколения (NGFW). Это позволяет легко включать наши данные об угрозах в существующую инфраструктуру безопасности и рабочие процессы.
CTT Threat Feed — API, подготовленный для доступа к индикаторам компрометации (IP, Domain, URL, Hash), на глубину до года.
Ключевые особенности:
- 260 источников
- 200К+ индикаторов в сутки
- Индикаторы из:
- TI-отчетов
- Cоциальных сетей
- GitHub, Pastebin
- Online-песочниц
- Собственного HoneyPot
- Механизмов поиска C2 серверов
Состав:
- Ссылки на первоисточник
- Роль индикатора
- Связь с группировкой/ВПО
- Дополнительный контекст
- Уровень опасности индикатора
Данные с оценкой от 0 до 20 обычно считаются ложными. Данные с оценкой 45+ используются в SIEM для детектирования в реальном времени, а данные с оценкой 55+ используются для активной блокировки. При этом каждый может задать собственные пороги, чтобы найти оптимальный баланс под свои задачи.
Данные могут загружаться каждый час или ежедневно, в зависимости от сценария использования. Лента включает множество категорий угроз.
| Примеры категорий угроз | |||
|---|---|---|---|
| backdoor | banker | bootkit | botnet |
| c2 | cryptomining | downloader | drainer |
| dropper | fraud | keylogger | malware |
| phishing | proxy | raas | ransomware |
| rat | rootkit | scam | scan |
| screenshotter | shellprobe | spam | spyware |
| stealer | tor_exit | trojan | vpn |
| vulndriver | webattack | wiper |
Ключевые возможности
- Большой объём контекстной информации: индикаторы поставляются с дополнительными данными, включая категорию угрозы, название вредоносного ПО, имена threat actor, инструменты и фреймворки, TTP, CVE, отраслевые теги, ссылку на источник индикатора и многое другое.
- Интеграция с OpenCTI: бесшовно интегрирует полученные данные в базу OpenCTI.
- Гибкая настройка импорта данных: пользователи могут задать порог score, чтобы управлять тем, какие индикаторы будут импортироваться, а также настроить импорт только новых индикаторов.
- Гибкая настройка detection flag: пользователи могут отдельно для каждого типа индикатора указать порог score, при котором Indicator будет помечаться как готовый к детектированию (
x_opencti_detection=true|false).
Этот коннектор даёт пользователям более широкий и глубокий взгляд на ландшафт киберугроз за счёт использования подробных данных threat intelligence, предоставляемых Cyber Threat Tech.
Требования
- Версия платформы OpenCTI 5.10.x или выше.
- API-ключ для доступа к Cyber Threat Tech (
info@cyberthreattech.ru).
Рекомендуемые коннекторы
Этот коннектор согласован с данными, которые заполняются типовыми коннекторами OpenCTI. Мы рекомендуем установить следующие коннекторы вместе с коннектором Cyber Threat Tech Threat Feed:
- MITRE Datasets (https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/mitre)
- OpenCTI Datasets (https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/opencti)
- CISA Known Exploited Vulnerabilities (https://github.com/OpenCTI-Platform/connectors/tree/master/external-import/cisa-known-exploited-vulnerabilities)
-
Cyber Threat Tech Threat Library - это опциональное платное дополнение для клиентов Cyber Threat Tech Threat Feed, которым нужен доступ к полной таксономии угроз и сопоставлению алиасов.
По умолчанию коннектор Cyber Threat Tech Threat Feed сопоставляет названия угроз из таксономии кодовых наименований Cyber Threat Tech с форматом, используемым в публичных репозиториях (MITRE, Malpedia), где это возможно. Однако многие названия угроз отсутствуют в публичных таксономиях. С Cyber Threat Tech Threat Library вы получаете:
-
Все алиасы одного и того же названия угрозы, а не только основной код.
- Унифицированные профили угроз, позволяющие коррелировать и использовать intelligence из разных источников (например, MITRE, Recorded Future, Microsoft, CrowdStrike и многих других) в рамках единой таксономии.
- Расширенный контекст и сопоставление для threat actor, вредоносного ПО, кампаний, инструментов, TTP и уязвимостей.
Примечание:
Коннектор Cyber Threat Tech Threat Feed включает базовое сопоставление с публичными таксономиями бесплатно. Cyber Threat Tech Threat Library оформляется как отдельная подписка для клиентов, которым нужны полные алиасы и расширенное сопоставление профилей угроз. Чтобы получить дополнительную информацию или запросить доступ, свяжитесь с info@cyberthreattech.ru.
Конфигурация
Настройка коннектора довольно проста. Для минимальной конфигурации нужно указать API-ключ Cyber Threat Tech и параметры подключения к OpenCTI. Ниже приведён полный список параметров, которые можно настроить:
| Параметр | Переменная Docker | Обязательный | Описание |
|---|---|---|---|
| URL OpenCTI | OPENCTI_URL |
Да | URL платформы OpenCTI. |
| Токен OpenCTI | OPENCTI_TOKEN |
Да | Токен администратора по умолчанию, заданный в платформе OpenCTI. |
| ID коннектора | CONNECTOR_ID |
Да | Уникальный идентификатор UUIDv4 для этого экземпляра коннектора. |
| Имя коннектора | CONNECTOR_NAME |
Да | Имя коннектора. Например: Cyber Threat Tech Threat Feed. |
| Scope коннектора | CONNECTOR_SCOPE |
Да | Область или тип данных, которые импортирует коннектор: MIME-тип или Stix Object. Например, application/json. |
| Уровень логирования | CONNECTOR_LOG_LEVEL |
Да | Определяет детализацию логов. Возможные значения: debug, info, warn или error. |
| Интервал | CONFIG_INTERVAL |
Да | Определяет, как часто запускается коннектор; задаётся в часах. |
| API-ключ Cyber Threat Tech Threat Feed | CTT_THREAT_FEED_API_KEY |
Да | Ваш API-ключ для доступа к Cyber Threat Tech. |
| Базовый URL Cyber Threat Tech Threat Feed | CTT_THREAT_FEED_BASEURL |
Нет | По умолчанию используется https://api.cyberthreattech.ru/v1. В некоторых случаях может понадобиться локальная конечная точка API. |
| Проверка SSL | CTT_THREAT_FEED_SSL_VERIFY |
Нет | По умолчанию: true. Если указать false, проверка SSL будет отключена (используйте с осторожностью; иногда это требуется, когда включена SSL-инспекция). |
| Включить IP Threat Feed | CTT_THREAT_FEED_IP |
Нет | По умолчанию: true. Если true, коннектор загружает данные Threat Intelligence для IP-адресов. |
| Включить Domain Threat Feed | CTT_THREAT_FEED_DOMAIN |
Нет | По умолчанию: true. Если true, коннектор загружает данные Threat Intelligence для доменов. |
| Включить URL Threat Feed | CTT_THREAT_FEED_URL |
Нет | По умолчанию: true. Если true, коннектор загружает данные Threat Intelligence для URL. |
| Включить Hash Threat Feed | CTT_THREAT_FEED_HASH |
Нет | По умолчанию: true. Если true, коннектор загружает данные Threat Intelligence для файловых хешей (MD5, SHA1, SHA256). |
| Интервал получения данных Threat Feed | CTT_THREAT_FEED_LATEST |
Нет | По умолчанию: day. Определяет, как часто загружаются последние данные threat feed. Варианты: 1h, 4h, 12h или day. |
| Таймаут подключения Cyber Threat Tech Threat Feed | CTT_THREAT_FEED_CONTIMEOUT |
Нет | Таймаут подключения к API. По умолчанию (сек): 30. |
| Таймаут чтения Cyber Threat Tech Threat Feed | CTT_THREAT_FEED_READTIMEOUT |
Нет | Таймаут чтения для каждого фида. Наш API перенаправляет коннектор для загрузки данных из S3 хранилища. Если коннектор не успевает получить ленту вовремя, увеличьте таймаут чтения. По умолчанию (сек): 120. |
| Количество повторов загрузки Cyber Threat Tech Threat Feed | CTT_THREAT_FEED_RETRY |
Нет | По умолчанию (попыток): 2. Определяет количество попыток загрузки ленты. |
| Максимальное количество повторов Cyber Threat Tech Threat Feed | CTT_THREAT_FEED_MAX_RETRIES |
Нет | Максимальное количество повторных попыток при проблемах подключения во время отправки данных в OpenCTI. По умолчанию: 3. |
| Задержка повтора Cyber Threat Tech Threat Feed | CTT_THREAT_FEED_RETRY_DELAY |
Нет | Начальная задержка в секундах перед повторной попыткой подключения к OpenCTI после неудачи. По умолчанию: 10. |
| Множитель backoff для повторов Cyber Threat Tech Threat Feed | CTT_THREAT_FEED_RETRY_BACKOFF_MULTIPLIER |
Нет | Множитель, применяемый к задержке повтора для экспоненциального увеличения паузы между попытками отправки данных в OpenCTI. Например, при задержке 10 и множителе 2.0 интервалы будут 10, 20 и 40 секунд. По умолчанию: 2.0. |
| Интервал выборки Cyber Threat Tech Threat Feed | CTT_THREAT_FEED_INTERVAL |
Нет | По умолчанию (сек): 86400. Если вы хотите загружать данные каждый час, обновите этот интервал соответствующим образом. |
| Минимальный score Cyber Threat Tech Threat Feed для импорта | CTT_THREAT_FEED_MIN_SCORE_IMPORT |
Нет | Импортировать только индикаторы с risk score выше X. Объекты, связанные с этими индикаторами, также будут импортированы вместе с соответствующими связями. По умолчанию (score): 20. |
| Минимальный score Cyber Threat Tech Threat Feed для детектирования IP | CTT_THREAT_FEED_MIN_SCORE_DETECTION_IP |
Нет | Индикаторы с risk score выше X помечаются как x_opencti_detection=true. По умолчанию (score): 45. |
| Минимальный score Cyber Threat Tech Threat Feed для детектирования Domain | CTT_THREAT_FEED_MIN_SCORE_DETECTION_DOMAIN |
Нет | Индикаторы с risk score выше X помечаются как x_opencti_detection=true. По умолчанию (score): 45. |
| Минимальный score Cyber Threat Tech Threat Feed для детектирования URL | CTT_THREAT_FEED_MIN_SCORE_DETECTION_URL |
Нет | Индикаторы с risk score выше X помечаются как x_opencti_detection=true. По умолчанию (score): 45. |
| Минимальный score Cyber Threat Tech Threat Feed для детектирования Hash | CTT_THREAT_FEED_MIN_SCORE_DETECTION_HASH |
Нет | Индикаторы с risk score выше X помечаются как x_opencti_detection=true. По умолчанию (score): 45. |
| Импортировать только новые индикаторы | CTT_THREAT_FEED_ONLY_NEW |
Нет | Определяет, хотите ли вы импортировать только индикаторы с недавним First Seen, или также повторно импортировать изменения по индикаторам, у которых Last Seen >= вчера. По умолчанию: true. |
| Импортировать только атрибутированные индикаторы | CTT_THREAT_FEED_ONLY_ATTRIBUTED |
Нет | Определяет, хотите ли вы импортировать только индикаторы, атрибутированные известным угрозам. По умолчанию: false. |
| Сохранять именованные уязвимости | CTT_THREAT_FEED_KEEP_NAMED_VULNS |
Нет | Определяет, должен ли коннектор создавать именованные уязвимости, такие как ldapnightmare, как отдельные объекты, или использовать только номера CVE. По умолчанию: true. |
| Создавать пользовательские TTP | CTT_THREAT_FEED_CREATE_CUSTOM_TTPS |
Нет | Пользователь может выбрать, нужно ли создавать объекты attack-pattern с пользовательскими названиями, которые пока отсутствуют в MITRE ATT&CK framework. Варианты: true, false. По умолчанию: true. |