#release #stix #yara #reporthub
Release Notes 2025-09
CTT Report Hub [ YARA extractor ]
Мы научились извлекать из тела отчета YARA-правила.
Добавлен в STIX в виде Indicator с pattern_type=yara, согласно спецификации STIX 2.1
При помощи LLM и рекомендаций по формированию и оценки YARA-правил от Florian Roth (https://github.com/Neo23x0/YARA-Style-Guide) мы автоматический оцениваем все правила по следующим критериям (все параметры оцениваются во шкале [0.0, 10.0]):
Также мы добавили ряд полей с описанием.
Учитывайте, что все оценки даны с использованием LLM, т.е. недетерминированным способом.
YARA-правила входят в состав STIX-бандла и при загрузке его в OpenCTI дополнительных настроек не требуется. Score Indicator в OpenCTI теперь учитывает
Release Notes 2025-09
CTT Report Hub [ YARA extractor ]
Мы научились извлекать из тела отчета YARA-правила.
Добавлен в STIX в виде Indicator с pattern_type=yara, согласно спецификации STIX 2.1
При помощи LLM и рекомендаций по формированию и оценки YARA-правил от Florian Roth (https://github.com/Neo23x0/YARA-Style-Guide) мы автоматический оцениваем все правила по следующим критериям (все параметры оцениваются во шкале [0.0, 10.0]):
detection_quality – качество детектирования конкретной малвари (см. рекомендации от Florian Roth)resilience – качество детектирования семейства малвариperformance – оптимальность реализации правила в части производительностиdocumentation – качество документированияtests – покрытие тестами, если эта информация присутствует.maintenance – насколько легко вносить в правило изменения.scope – соотношение покрытия и точности детектирования (1 – score = FP rate).complexity – оценка стиля кода в части удобочитаемости и ясности структуры. Также мы добавили ряд полей с описанием.
qa_notes – рекомендации по работе с правилом.qa_recommendations – рекомендации по улучшению кода правила.qa_score – консолидированная оценка правила, на основе описанных выше критериев.Учитывайте, что все оценки даны с использованием LLM, т.е. недетерминированным способом.
YARA-правила входят в состав STIX-бандла и при загрузке его в OpenCTI дополнительных настроек не требуется. Score Indicator в OpenCTI теперь учитывает
qa_score YARA-правила.#release #stix #reporthub
Release Notes 2025-09
CTT Report Hub [ CDE ]
Мы расшили функции CTT Report Hub модулем Customers Data Extraction (далее – CDE).
Модуль CDE позволяет создавать персонализированные методы анализа CTI-отчетов под каждого клиента. На данном этапе CDE позволяет проставить в STIX-бандле кастомный тег отчету, видимый только определенному клиенту, если в отчете были указаны:
1. Подсети клиента.
2. ASN клиента.
3. Домены, или URL содержат интересующие клиента подстроки (задаются регулярными выражениями).
4. Текст в Whois по доменам из отчета содержат интересующие клиента подстроки.
5. Текст отчета содержит содержат интересующие клиента подстроки.
Механизм CDE поможет подсветить в потоке те отчеты, в которых может содержаться информация, касающаяся конкретного клиента и оперативно среагировать на появившуюся в публичном доступе информацию о его инфраструктуре.
Release Notes 2025-09
CTT Report Hub [ CDE ]
Мы расшили функции CTT Report Hub модулем Customers Data Extraction (далее – CDE).
Модуль CDE позволяет создавать персонализированные методы анализа CTI-отчетов под каждого клиента. На данном этапе CDE позволяет проставить в STIX-бандле кастомный тег отчету, видимый только определенному клиенту, если в отчете были указаны:
1. Подсети клиента.
2. ASN клиента.
3. Домены, или URL содержат интересующие клиента подстроки (задаются регулярными выражениями).
4. Текст в Whois по доменам из отчета содержат интересующие клиента подстроки.
5. Текст отчета содержит содержат интересующие клиента подстроки.
Механизм CDE поможет подсветить в потоке те отчеты, в которых может содержаться информация, касающаяся конкретного клиента и оперативно среагировать на появившуюся в публичном доступе информацию о его инфраструктуре.
openapi_ioclookup_v2.json
33.9 KB
#release #stix #ioclookup
Release Notes 2025-09
CTT IOC Lookup [ preview v2 ]
Мы обновили механизм поиска IOC по нашей базе.
На данный момент новый IOC Lookup доступен в режиме preview в отельном API-endpoint. Прозрачное переключение всех клиентов на новую версию пройдет 30 сентября. Каких-то дополнительных действий на стороне клиента производить не потребуется.
В новой версии доступно несколько механизмов поиска:
1. Inline search – поиск записей по одному IOC
2. Queued search – запланированный поиск, при котором задача поиск ставится в FIFO-очередь
Inline search предназначен для быстрого поиска данных по IOC на небольшую глубину по времени. На данный момент это 365 дней.
Queued search предназначен для выполнения поиска на глубину в 5 лет и последовательного извлечения всех записей по IOC.
Inline search и Queued search имеют следующие функции:
1. Если производится поиск по URL, извлечение домена из URL и дополнительный поиск IOC по домену. При этом в ответ будут включены результаты поиска как по URL, так и домену в формате JSON Lines (JSONL). Если же выбран формат CSV, тогда ответ будет представлен в формате <Заголовок с полями домена> \n <Строка> \n <Заголовок с полями URL> \n <Строка>
2. Также в механизме поиска имеется флаг, позволяющий искать URL без учета его параметров.
3. Ответ от сервиса может быть представлен как в формате JSON, так и CSV
В Inline search также, как и в Queued search реализован параметр, отвечающий за работу с историческими данными. В случае с Inline search данный параметр объединяет первые 100 записей по найденному IOC в одну запись. По умолчанию данный параметр не активен и в ответ включается лишь самая последняя (новая) запись по IOC.
Работа Queued search отличается от Inline search. Queued search получив IOC для поиска создает задачу и возвращает в ответе ее ID. В рамках данного ответа также можно узнать каков порядковый номер вашей задачи в общей очереди.
Для получения актуального статуса задачи реализован отдельный endpoint API.
Как только задача будет завершена, результат ее выполнения будет доступен по ее ID.
В Queued search параметр, отвечающий за работу с историческими данными, работает иначе чем в Inline search. Если он определен в запросе, то в ответе будут все записи по IOC на глубину в 5 лет в формате JSONL
Release Notes 2025-09
CTT IOC Lookup [ preview v2 ]
Мы обновили механизм поиска IOC по нашей базе.
На данный момент новый IOC Lookup доступен в режиме preview в отельном API-endpoint. Прозрачное переключение всех клиентов на новую версию пройдет 30 сентября. Каких-то дополнительных действий на стороне клиента производить не потребуется.
В новой версии доступно несколько механизмов поиска:
1. Inline search – поиск записей по одному IOC
2. Queued search – запланированный поиск, при котором задача поиск ставится в FIFO-очередь
Inline search предназначен для быстрого поиска данных по IOC на небольшую глубину по времени. На данный момент это 365 дней.
Queued search предназначен для выполнения поиска на глубину в 5 лет и последовательного извлечения всех записей по IOC.
Inline search и Queued search имеют следующие функции:
1. Если производится поиск по URL, извлечение домена из URL и дополнительный поиск IOC по домену. При этом в ответ будут включены результаты поиска как по URL, так и домену в формате JSON Lines (JSONL). Если же выбран формат CSV, тогда ответ будет представлен в формате <Заголовок с полями домена> \n <Строка> \n <Заголовок с полями URL> \n <Строка>
2. Также в механизме поиска имеется флаг, позволяющий искать URL без учета его параметров.
3. Ответ от сервиса может быть представлен как в формате JSON, так и CSV
В Inline search также, как и в Queued search реализован параметр, отвечающий за работу с историческими данными. В случае с Inline search данный параметр объединяет первые 100 записей по найденному IOC в одну запись. По умолчанию данный параметр не активен и в ответ включается лишь самая последняя (новая) запись по IOC.
Работа Queued search отличается от Inline search. Queued search получив IOC для поиска создает задачу и возвращает в ответе ее ID. В рамках данного ответа также можно узнать каков порядковый номер вашей задачи в общей очереди.
Для получения актуального статуса задачи реализован отдельный endpoint API.
Как только задача будет завершена, результат ее выполнения будет доступен по ее ID.
В Queued search параметр, отвечающий за работу с историческими данными, работает иначе чем в Inline search. Если он определен в запросе, то в ответе будут все записи по IOC на глубину в 5 лет в формате JSONL
#release #stix #reporthub
Release Notes 2025-09
CTT Report Hub [ STIX SDO relationships ]
В механизмах семантического анализа CTI-отчетов были добавлены улучшения в части детектирования связей между объектами STIX SDO:
Malware – Malware
- Улучшено определение связей:
Malware – Tool
- Улучшено определение связей:
Release Notes 2025-09
CTT Report Hub [ STIX SDO relationships ]
В механизмах семантического анализа CTI-отчетов были добавлены улучшения в части детектирования связей между объектами STIX SDO:
Malware – Malware
- Улучшено определение связей:
downloads, variant-ofMalware – Tool
- Улучшено определение связей:
dropsВсем привет.
Сегодня в 18:00 по МСК API IOC Lookup будет переключен на новую версию.
Сегодня в 18:00 по МСК API IOC Lookup будет переключен на новую версию.
Весь стек сервисов CTT CTI теперь начал работать в решениях Innostage.
Особенно классно получилось реализовать нашу интеграцию в AI-ассистенте Innostage Carmina AI.
https://safe.cnews.ru/news/line/2025-10-21_innostage_i_tehnologii_kiberugroz
Особенно классно получилось реализовать нашу интеграцию в AI-ассистенте Innostage Carmina AI.
https://safe.cnews.ru/news/line/2025-10-21_innostage_i_tehnologii_kiberugroz
CNews.ru
Innostage и «Технологии киберугроз» объявили о сотрудничестве в целях противодействия угрозам информационной безопасности - CNews
В рамках сотрудничества вся линейка сервисов Threat Intelligence компании «Технологии киберугроз» интегрирована в собственные...
Наш ранее перенесённый вебминар 30 октября 11:00 (МСК)
Приходите
Совместный вебинар Security Vision и «Технологии киберугроз» «Threat Intelligence: от теории к практике. Интеграция фидов данных для эффективной защиты»
Приходите
Совместный вебинар Security Vision и «Технологии киберугроз» «Threat Intelligence: от теории к практике. Интеграция фидов данных для эффективной защиты»
SecurityVision.ru
Совместный вебинар Security Vision и «Технологии киберугроз» «Threat Intelligence: от теории к практике. Интеграция фидов данных…
Xотите мгновенно выявлять и блокировать даже самые сложные и замаскированные угрозы? Security Vision и RST Cloud…
Forwarded from Юля
Открой занавес реального мира киберразведки!
3 декабря в Москве состоится закрытое мероприятие Innostage и CyberThreatTech — CyberWarRoom.
В программе:
🔙 Практический опыт применения AI в SOC;
🔙 Путь от идеи к внедрению: развитие продукта Cardinal iTDIR;
🔙 Инструменты: какую ценность в управлении ИБ дают сервисы Threat Intelligence;
🔙 Кейс: как работает Cardinal iTDIR внутри Innostage SOC CyberArt.
Модератор:
🎤 Лев Палей, эксперт в ИБ, MBA, CISO
Спикеры:
🗣 Анна Олейникова, директор по продуктовому развитию Innostage
🗣 Игорь Залевский, руководитель департамента результативной кибербезопасности Innostage
🗣 Николай Арефьев, основатель и СЕО CyberThreatTech
🔴 3 декабря 2025, 15:00
🔴 г. Москва, Докучаев переулок, д. 2, стр. 3, конференц-зал & Лофт by ВОЛГА
Регистрируйся!
Регистрация обязательная и бесплатная, открыта до 1 декабря
3 декабря в Москве состоится закрытое мероприятие Innostage и CyberThreatTech — CyberWarRoom.
В программе:
Модератор:
Спикеры:
Регистрируйся!
Регистрация обязательная и бесплатная, открыта до 1 декабря
Please open Telegram to view this post
VIEW IN TELEGRAM
🏆1🫡1😎1
FYI
Filigran and RST Cloud partner on Unified Threat Intelligence
https://filigran.io/filigran-and-rst-cloud-partner-on-unified-threat-intelligence/
Filigran and RST Cloud partner on Unified Threat Intelligence
https://filigran.io/filigran-and-rst-cloud-partner-on-unified-threat-intelligence/