Быстрый старт

Контакты технических специалистов, которые могут проконсультировать по процессу развёртывания и настройки ПО и его функционирования: специалисты по сопровождению, адрес электронной почты: support.tic@rt-solar.ru.

Назначение и область применения

Программный комплекс Solar TI Feeds предназначен для периодической загрузки полного списка фидов, получения изменений с момента последнего запуска и получения изменений по нотификациям. Solar TI Feeds обеспечивает взаимодействие с различными источниками индикаторов компрометации информационных систем, поставляемых облаком TI Feeds, для формирования централизованной базы знаний об угрозах информационной безопасности и индикаторах компрометации информационных систем.
Solar TI Feeds API предоставляет доступ к актуальным фидам индикаторов компрометации через REST API-интерфейс.
API располагается по адресу api.data.rt-solar.ru

Термины и определения

Индикаторы компрометации (IOCs) — это конкретные признаки, по которым можно распознать потенциальную угрозу ИБ. Среди распространяемых данных от к ним относятся:

• IP-адреса, связанные с преступной активностью
• Домены, используемые злоумышленниками
• URL, используемые злоумышленниками
• Хеши вредоносных файлов

Индикатор атаки (IoA) — это правило, содержащее описание подозрительного поведения в системе, которое может являться признаком целевой атаки.

Категории индикаторов - базовая классификация индикаторов по типу угрозы. Категория — это классификационный признак, который определяет:

• Классы вредоносного программного обеспечения;
• Сущность конкретного индикатора;
• Основные свойства и характеристики объекта Примеры категорий: Ransomware, Phishing, Stealer, С2.

Фиды (Threat Intelligence Feeds) — это потоки данных, содержащие различные индикаторы угроз. Они представляют собой каналы получения информации об угрозах кибербезопасности. Фиды формируются из общего списка индикаторов на основе правил, определяющих принадлежность индикатора к тому или иному фиду по заданному набору признаков. Фиды представлены в API как endpoint, содержащий /feeds*, который включает индикаторы, уже отфильтрованные по признакам. Среди эндпоинтов есть отличия в логике фильтрации и способе дифференциальных обновлений:

• /feeds/{feedName} - фильтрация только по одному фиду, признак action, определяющий событие, произошедшее с индикатором, относится именно к принадлежности индикатора к данному фиду. Если индикатор при обновлении перестанет удовлетворять условиям фида, то может быть отозван (action=DELETE) исключительно из данного фида, когда в других фидах индикатор может оставаться валидным.
• /feeds - универсальный эндпоинт для фильтрации индикаторов по принадлежности к фидам. При указании нескольких параметров feed_names фильтрация происходит по логике «и». Отследить статус индикатора в конкретном фиде не представляется возможным, action обозначает событие, произошедшее со всем индикатором, а не индикатором в фиде.

Фид — это агрегирующий признак, который:

• Служит для группировки индикаторов;
• Может быть связан как с характеристиками угрозы, так и с другими параметрами;
• Позволяет объединять индикаторы по различным признакам (не только по угрозам)
• Примеры фидов: Ransomware, Phishing, Fincert, 4RAYS Pulse.

Поле «Фиды» - список фидов, в которых содержится данный индикатор. Следует отличать поле «Фиды» от понятия Фид - логическая группировка индикаторов на основе их признаков. Индикатор может попасть в фид по некоторым условиям, например, по принадлежности к какой-либо категории или на основе источника, из которого индикатор был получен. Фид может формироваться по категории или источнику индикатора, но не для всех категорий и источников такое возможно. Поэтому визуально может показаться, что поля «Категория» и «Фид» дублируют друг друга, но это не так, скорее поле фидов может в себя включать часть множества поля категорий. Таким образом, хотя категории и фиды могут пересекаться по содержанию, они выполняют разные функции в Solar TI Feeds и предоставляют различные уровни классификации и использования индикаторов.

Ключевое отличие между категорией и фидом заключается в следующем:

• Категория всегда характеризует саму сущность индикатора, определяет природу и характеристики угроз
• Фид помогает организовать индикаторы в группы по различным критериям и может быть связан как с характеристиками индикатора, так и с внешними признаками группировки, например, источником получения индикаторов.

Основные эндпоинты

Управление фидами:

• /api/v1/feeds-list - получение списка фидов.
• /api/v1/feeds/{feedName} - получение индикаторов компрометации из конкретного фида.
• /api/v1/feeds - получение списка индикаторов компрометации, выбранного из древовидной структуры фида. Древовидная структура описана в разделе Структура фидов.

Управление файлами и правилами:

Правила разделены по типам, в рамках одного типа может быть несколько коллекций.

• /api/v1/rules/types - получение типов правил.
• /api/v1/rules/{type}/collections - получение имен коллекций определенного типа.
• /api/v1/rules/{type}/{collection}/history - получение списка файлов с правилами определенного типа и коллекции.
• /api/v1/rules/{type}/{collection}/{hash} - получение файла по конкретному хешу.
• /api/v1/rules/{type}/{collection}/latest - получение последней версии файла в коллекции.
• /api/v1/collections/files - получение подробной информации о вредоносных и подозрительных файлах.

Метод авторизации: Авторизация проводится путем передачи JWT-токена в заголовке запроса.