Версия: 2.0

Рейтинг вредоносности IoCs

В Solar TI Feeds для оценки критичности индикаторов используется поле zone. Это поле следует использовать как базовый показатель вредоносности в TIP-системах.
Пример использования поля zone для определения рейтинга вредоносности:

Шаг 1. Выполнение запроса к фиду
Выполните запрос к фиду, например 4rays_pulse, чтобы получить индикаторы с оценкой критичности.

curl --location --request GET 'https://api.data.rt-solar.ru/api/v2/feeds/4rays_pulse?limit=100' \
--header 'Authorization: Bearer {JWT_TOKEN}'

Шаг 2. Получение индикаторов с полем zone
В ответе каждый индикатор будет содержать поле zone со значениями: MALICIOUS, SUSPICIOUS, UNKNOWN или CLEAN.
Пример индикатора с полем zone:

{
  "id": "421da453-5f3b-4542-b8fe-099f7d9cbe2b",
  "type": "IPV4",
  "value": "192.0.2.100",
  "zone": "MALICIOUS",
  "categories": ["malware", "c2"],
  "feeds": [
    {
      "name": "4rays_pulse",
      "action": "UPDATE"
    }
  ]
}

Шаг 3. Анализ значения поля zone
Используйте таблицу для анализа значения zone.