Threat Intelligence Feed · IOC STIX/TAXII Fortgale
CTI · capability 02 · Threat Intelligence Feed

Des flux d'intelligence générés, pas revendus.

Le flux CTI Fortgale naît de trois sources convergentes : les incidents traités par nos services SOC et MDR, la recherche active sur threat actors et infrastructures criminelles, l'analyse continue des outils offensifs — Cobalt Strike (configurations et watermarks), infostealers, kits de phishing, worms, APT tooling. Plus de 180 outils et acteurs suivis, indicateurs distribués via STIX/TAXII, REST API et webhook, intégration native avec SIEM, EDR, firewall, IDS/IPS.

Demander un sample du flux Explorer les 5 catégories ↓
180+Outils & acteurs suivis
34 k+IOC hebdomadaires
STIX 2.1+ TAXII · API · Webhook
Standards · protocoles
STIX 2.1
TAXII 2.1
MISP
OpenCTI
Standards · frameworks
MITRE ATT&CK
Sigma
YARA
Snort/Suricata
Le problème

Flux commerciaux : agrégation, pas génération.

La majorité des vendors CTI revendent des flux agrégés depuis des sources tierces (VirusTotal, Mandiant, Recorded Future). La valeur ajoutée est minimale, le même flux est vendu à des centaines de clients simultanément, les IOC arrivent après que l'attaque soit publique.

01

Agrégation, pas génération

Les vendors revendent des flux tiers · les mêmes IOC vendus à des centaines de clients. Avantage compétitif défensif : zéro.

02

Latence · arrivée post-attaque

Les IOC entrent dans les flux après que l'attaque soit publique. Ils servent à confirmer l'incident, pas à le prévenir.

03

Faux positifs et bruit

Flux massifs sans contexte · SOC surchargé · alert fatigue · contrôles de blocage automatique souvent désactivés en raison du trop grand bruit.

La distinction qui change tout

Flux agrégé vs flux généré.

La différence n'est pas une question de "qualité du catalogue" — c'est une question de source. Un flux généré à partir d'incidents réels a un contexte, une fraîcheur et une précision qu'un flux agrégé ne peut structurellement pas avoir.

Flux agrégé · commercial
  • Indicateurs achetés à des sources tierces
  • Même flux vendu à des centaines de clients
  • Latence élevée · post-attaque publique
  • Peu de contexte, forts faux positifs
  • Confidence opaque · pas de TTL clair
Standard du secteur
Flux Fortgale · généré
  • Indicateurs depuis incidents SOC/MDR/IR réels
  • Recherche active sur threat actors et infrastructures
  • Tracking continu de 180+ outils & acteurs
  • Confidence score explicite · TTL par IOC
  • Validation interne · cible FP <0,5 %
Propriétaire · actionable
La méthode · 4 étapes

De l'incident à la règle active dans le SIEM.

Une pipeline technique documentable qui porte un artefact observé dans un incident réel jusqu'à la règle active dans le SIEM/EDR du client. Chaque étape a des outputs vérifiables et des délais mesurables.

  1. 01
    De l'incident réel à l'IOC validé

    Extraction depuis incidents SOC, MDR et IR

    Chaque incident traité par les services SOC, MDR et Incident Response Fortgale produit des artefacts : IP observées comme C2, domaines de delivery, hashes de payload exécuté, URL malveillantes, règles YARA pour les samples analysés. Indicateurs réels, non simulés en sandbox isolée.

    SOC européen 24·7MDR FortgaleIncident ResponseTélémétrie EDR
  2. 02
    Du paysage opérationnel aux indicateurs

    Recherche active sur threat actors et infrastructures

    L'équipe CTI mène une recherche proactive : hunting deep & dark web, OSINT sur forums criminels, monitoring de canaux Telegram, registrar tracking, ASN profiling, certificate transparency log analysis. Les infrastructures sont identifiées avant leur activation contre les clients.

    Dark web huntingRegistrar trackingASN profilingCertificate transparency
  3. 03
    Du sample au fingerprint

    Analyse instrumentale · C2, malware, kits, worms, APT tooling

    Analyse continue de Cobalt Strike (parsing des configurations, watermarks, malleable profiles), Sliver · Brute Ratel · Havoc · Mythic, infostealers (Lumma · RedLine · Vidar · StealC), kits de phishing (Tycoon 2FA · EvilProxy · W3LL), worms (Raspberry Robin), loaders et outillage de groupes APT.

    Cobalt Strike profilingSample reversingConfig trackingYARA authoring
  4. 04
    De l'indicateur validé à la règle active

    Validation, scoring, distribution automatique

    Chaque indicateur reçoit un confidence score (high / medium / low) et un TTL (time-to-live) basé sur la rotation typique de l'acteur. Distribution automatique via STIX/TAXII 2.1, REST API, webhook directement vers les plateformes de sécurité du client. Aucun délai issu de pipelines manuels.

    Confidence scoringTTL rotationSTIX 2.1 / TAXII 2.1Automated distribution
Catégories de tracking

Cinq familles d'outils · suivies en continu.

Le flux Fortgale couvre cinq familles principales d'outillage offensif. Pour chacune, une méthodologie de tracking spécifique et des indicateurs distinctifs.

Catégorie 01

C2 framework tracking

Cobalt Strike · Sliver · Brute Ratel · Havoc · Mythic

Les frameworks de Command & Control sont le cœur opérationnel de presque toutes les intrusions modernes. Fortgale suit en continu configurations, watermarks, certificate fingerprints, malleable profiles et signatures TLS des principaux C2 frameworks — aussi bien commerciaux leakés (Cobalt Strike, Brute Ratel) qu'open-source (Sliver, Havoc, Mythic).

  • Cobalt Strike config parsing Extraction automatique de sleep_time, jitter, spawn_to, malleable HTTP profile, watermark, server certificate. Identification des versions leakées (watermark 0) et des cracked builders.
  • TLS / JA3 fingerprint Tracking de certificate thumbprints, signatures JA3/JA3S, patterns de CA custom. Distinction entre déploiements légitimes (red teams contractées) et infrastructures criminelles.
  • Sliver C2 indicators Implant configuration, beacon timing, transport (mTLS, HTTPS, DNS, WireGuard), staging URI pattern. Sliver est en forte croissance 2024-2026 comme alternative open-source.
  • Brute Ratel C4 Outillage commercial leaké en 2022, désormais largement abusé. Tracking de license fingerprints, profile signatures, default URI patterns.
  • Havoc · Mythic · open-source C2 Profile fingerprinting, default port patterns, certificate generation patterns, agent configuration tracking.
Catégorie 02

Infostealer tracking

Lumma · RedLine · Vidar · StealC · Raccoon · Atomic

Les infostealers sont la principale source de credentials volés sur les marketplaces criminels et le point d'entrée le plus fréquent vers les intrusions ransomware. Fortgale suit campagnes, panels C2, versions de build, configurations et infrastructures de distribution.

  • Lumma Stealer (LummaC2) Top infostealer 2024-2025, MaaS distribué via Telegram. Tracking des panels C2, build ID, exfiltration endpoints, canaux Telegram du seller, payload delivery patterns.
  • RedLine · Vidar · StealC Familles legacy encore actives en 2025-2026. Tracking de C2 IP, config decoders, encryption keys, mutex patterns, séries de build ID.
  • Atomic / macOS infostealer AMOS, Banshee, Cthulhu — l'écosystème macOS a fortement progressé. Tracking de la delivery via fake installers (Homebrew, apps crackées, Sponsored Google Ads), endpoints C2, patterns d'exfiltration.
  • Delivery infrastructure Fake CAPTCHA pages (ClickFix), SEO poisoning, malvertising via Google Ads, GitHub release abuse, YouTube description links.
  • Stolen log marketplace mapping Tracking de Russian Market, Genesis Market (post-takedown), canaux Telegram de logs — corrélation entre builds infostealer et logs en vente.
Catégorie 03

Phishing kit tracking

Tycoon · Mamba · EvilProxy · W3LL · Caffeine · Greatness

Les kits de phishing modernes AiTM bypass MFA, interceptent les session cookies et répliquent les flows Microsoft / Google. Fortgale suit kits, infrastructure de delivery, panels admin et opérateurs.

  • Tycoon 2FA Kit AiTM premier 2024-2026, cible Microsoft 365 / Google Workspace. Tracking de landing page signatures, redirect chains, abus de Cloudflare workers, réutilisation de branded assets.
  • Mamba 2FA · EvilProxy · W3LL Concurrents directs de Tycoon. Fingerprints distincts sur landing structure, session hijack flow, custom JavaScript injectors.
  • Caffeine · Greatness · NakedPages Kits phishing-as-a-service plus anciens mais encore actifs. Tracking des templates, patterns d'URL des panels admin, canaux Telegram des sellers.
  • Delivery infrastructure Tracking des registrars de choix (Namesilo, Reg.ru), patterns de Cloudflare tunnel, hébergements WordPress compromis, émission fraîche de certificats Let's Encrypt.
  • Kits ciblant l'Europe Kits avec copy en langues européennes natives (pas de traduction automatique), brandés sur les banques européennes (BNP, Société Générale, Crédit Agricole, Intesa, Deutsche Bank), agences fiscales/sociales nationales, schémas eID.
Catégorie 04

Worms, loaders, IAB tooling

Raspberry Robin · SystemBC · Matanbuchus · BumbleBee · IcedID

Worms, loaders et outillage d'Initial Access Broker sont le vecteur d'entrée préféré des principaux groupes ransomware (RansomHub, Akira, LockBit). Les suivre revient à voir l'intrusion 7-30 jours avant qu'elle ne devienne ransomware.

  • Raspberry Robin USB worm → IAB. Tracking des patterns d'abus de msiexec, C2 Tor onion, persistence fodhelper.exe, downloaders follow-on (FakeUpdates, IcedID, BumbleBee).
  • SystemBC Proxy malware SOCKS5. Pairing fréquent avec RansomHub, LockBit, Cl0p. Tracking de C2 IP rotation, extraction de configurations, encryption keys.
  • Matanbuchus · BumbleBee · IcedID Loaders MaaS — distribuent des follow-on (Cobalt Strike, ransomware). Tracking des packers, C2 protocol fingerprints, configuration server patterns.
  • PrivateLoader · SmokeLoader Loaders commodity encore actifs en 2025-2026. Tracking des affiliate IDs, panels C2, distribution du trafic.
  • FakeUpdates / SocGholish Fausses mises à jour de navigateur, vecteur d'entrée massif. Tracking de WordPress compromis, patterns d'URL de payload, persistence post-exploitation.
Catégorie 05

APT tooling & state-affiliated

Outillage de groupes étatiques suivi contre l'Europe

Outillage développé par ou pour des groupes APT étatiques : backdoors custom, RAT signés, kits de persistence avancés, frameworks de lateral movement. Fortgale suit les artefacts techniques quand ils sont observés dans des incidents réels ou publiés par la communauté CERT/research.

  • Russian-affiliated tooling GoldMax, GoldFinder, SombRAT, RAT custom avec language artefacts. Tracking de builder signatures, protocole C2, patterns de persistence.
  • Chinese-affiliated tooling PlugX, ShadowPad, variantes Korplug, DLL sideloading custom. Tracking de hashes de loader, patterns de decryption key, mutex naming.
  • Iranian-affiliated tooling DEV-0270, outillage MuddyWater, framework PowerShell custom. Tracking de patterns d'obfuscation, endpoints C2.
  • North Korean-affiliated tooling Toolset Lazarus (Manuscrypt, BeaverTail, AppleJeus), delivery JS-based, compromission supply chain via npm/PyPI.
  • Outillage ciblant l'Europe Outillage développé spécifiquement pour des cibles européennes — BrokerLoader (Nebula Broker), outillage d'opérateurs non-étatiques disposant de capability custom.
Parmi les plus suivis

Sept outils que le flux surveille en continu.

Un extrait des 180+ outils et acteurs suivis par l'équipe CTI : du framework C2 le plus répandu (Cobalt Strike) à l'infostealer dominant 2024-2026 (Lumma), du kit AiTM le plus utilisé en Europe (Tycoon 2FA) à l'Initial Access Broker qui alimente les top ransomware (Raspberry Robin).

C2 Framework · 2012-actif

Cobalt Strike

Cobalt Strike · commercial (leaked)
Type
Beacon C2 framework
Tracking
Config parsing · watermark · TLS fingerprint · malleable profile

Le framework C2 le plus suivi au monde. Fortgale fait le parsing automatique des configurations Beacon extraites de samples réels et de scans internet (Shodan-style), suit les watermarks de versions leakées, fingerprints TLS des team servers, malleable C2 profile patterns. Turnover d'indicateurs : 100-500 nouveaux serveurs suivis / semaine.

Watermark trackingMalleable profileTLS fingerprintTop tracked
Tracking · Top Demander les IOC →
Infostealer · 2022-actif · top 2025

Lumma Stealer

Lumma Stealer · MaaS
Type
Information stealer · credentials, cookies, crypto wallets
Tracking
C2 panel · build ID · canal Telegram · delivery URL

L'infostealer dominant 2024-2026. Distribué en MaaS via Telegram, avec builder et panels C2 connus. Fortgale suit la rotation des hostnames de panels C2, les séries de build ID, les canaux Telegram du seller, les patterns d'URL de delivery (ClickFix, SEO poisoning, malvertising).

MaaSTelegram-distributedClickFix deliveryTop stealer 2025
Tracking · Top Demander les IOC →
Phishing kit · 2023-actif

Tycoon 2FA

Tycoon 2FA · AiTM phishing kit
Type
Adversary-in-the-Middle MFA bypass · Microsoft 365 · Google
Tracking
Landing page signature · Cloudflare worker · redirect chain · session hijack

Kit AiTM premier qui bypass MFA sur Microsoft 365 et Google Workspace. Tracking des landing page signatures, abus de Cloudflare workers pour la delivery, redirect chains via services légitimes (Google, YouTube), patterns d'exfiltration de session cookies.

AiTM · MFA bypassM365 · GoogleCloudflare abuseEU-targeted
Tracking · Active Demander les IOC →
C2 Framework · 2019-actif · en croissance

Sliver

Sliver · open-source C2 (BishopFox)
Type
Cross-platform C2 framework · Go-based
Tracking
Implant config · TLS cert · staging URI · transport pattern

Alternative open-source à Cobalt Strike en forte croissance 2024-2026 comme outillage criminel. Fortgale suit l'implant configuration, la default certificate generation, les staging URI patterns, les transport (mTLS, HTTPS, DNS, WireGuard) fingerprints.

Open-sourceGo-basedEn croissance 2025-26Cross-platform
Tracking · Active Demander les IOC →
Worm / IAB · 2021-actif

Raspberry Robin

Raspberry Robin · DEV-0856 / Storm-0856
Type
USB worm → Initial Access Broker
Tracking
msiexec pattern · Tor C2 · clés de persistence · downloader follow-on

Worm USB évolué en Initial Access Broker de premier plan pour les groupes ransomware. Tracking de msiexec chaîné avec regsvr32, persistence fodhelper.exe, C2 Tor onion, downloaders follow-on (FakeUpdates, IcedID, BumbleBee, Matanbuchus).

IAB pre-ransomwareUSB wormTor C2Top EU 2025-26
Tracking · Top Demander les IOC →
Loader / Proxy · 2018-actif

SystemBC

SystemBC · SOCKS5 proxy malware
Type
Proxy malware · pairing ransomware
Tracking
C2 IP rotation · extraction config · encryption key · mutex

Proxy SOCKS5 malware avec pairing fréquent avec les top ransomware (RansomHub, LockBit, Cl0p). Tracking des patterns de C2 IP rotation, extraction automatisée des configurations, encryption keys par famille, mutex naming convention.

Ransomware pairingSOCKS5 proxyLong-runningCross-family
Tracking · Top Demander les IOC →
Loader · 2021-actif · MaaS

Matanbuchus

Matanbuchus · MaaS loader
Type
Loader-as-a-Service · pre-ransomware
Tracking
Packer · C2 protocol · configuration server · build ID

Loader MaaS qui distribue des follow-on Cobalt Strike, ransomware, infostealers. Tracking du packer fingerprint, patterns C2 protocol HTTPS, hostnames de configuration server, séries de build ID. Souvent associé à des campagnes phishing à haute conversion.

MaaS loaderPre-Cobalt StrikePhishing-deliveredMaaS
Tracking · Active Demander les IOC →
Intégrations natives

S'intègre au stack que vous avez déjà.

Le flux Fortgale est conçu pour s'insérer dans les processus existants de votre équipe SOC sans imposer une migration de plateformes. Standards ouverts (STIX 2.1 / TAXII 2.1) et connecteurs natifs pour les principaux SIEM, EDR/XDR, firewalls, IDS/IPS.

Standards & protocoles
STIX 2.1TAXII 2.1MISPOpenCTIJSON / CSV dump
SIEM
SplunkElastic SecurityMicrosoft SentinelIBM QRadarSumo LogicGoogle Chronicle
EDR · XDR
CrowdStrike FalconSentinelOne SingularityMicrosoft Defender for EndpointPalo Alto Cortex XDRTrend Micro Vision OneSophos Intercept X
Firewall · NGFW
Palo Alto NetworksFortinet FortiGateCheck Point QuantumCisco Secure FirewallSophos XGS
IDS/IPS · NDR
SuricataSnortZeek (Bro)Vectra AIDarktraceCisco Stealthwatch
Canal de delivery
TAXII 2.1 endpointREST API (OAuth2)Webhook (Slack · Teams · Discord)Email digestMISP federation

Effort d'onboarding typique · 2-5 jours ouvrés pour les connecteurs natifs. Intégrations custom évaluées au cas par cas.

Qualité · méthodologie

Confidence score explicite. Faux positifs sous contrôle.

Chaque indicateur du flux reçoit un confidence score (high / medium / low / deprecated) et un TTL (time-to-live) basé sur la rotation typique de l'acteur ou de l'infrastructure. Pas de flag générique "malicious" sans contexte.

High

Validation multiple

Indicateur validé par un incident réel traité par les services Fortgale (SOC/MDR/IR) ou par de multiples preuves indépendantes sur infrastructure criminelle. Taux de faux positifs cible <0,5 %.

Medium

Source unique, contexte cohérent

Indicateur observé dans une source unique avec preuves contextuelles cohérentes, ou dans une source externe fiable non encore vérifiée en interne. Suggéré pour alerting/triage, pas pour blocage automatique.

Low

Candidat en attente

Indicateur candidat avec un seul élément de recoupement, en attente de validation. Distribué séparément pour les analystes qui veulent une visibilité early-stage, pas pour la detection automatique.

Deprecated

TTL expiré · flagged

Indicateur avec TTL expiré ou invalidé par de nouvelles preuves. Reste dans le flux avec flag explicite pour éviter une ré-introduction accidentelle et pour supporter la retro-analyse sur logs historiques.

L'output

Comment le flux est livré.

Quatre canaux de distribution, choisis en fonction du stack technique et des processus du client. Standards ouverts pour intégration automatique, formats legacy pour qui n'a pas d'automation.

01

Endpoint TAXII 2.1 dédié

Endpoint TAXII 2.1 avec credentials dédiés par client, polling configurable (15-60 minutes typique). Bundles STIX 2.1 avec objets indicators, malware, threat-actor, attack-pattern, course-of-action.

02

REST API · OAuth2

API REST avec authentification OAuth2, requêtes par type (IP / domain / hash / YARA / Sigma), par famille, par fenêtre TTL. Documentation OpenAPI 3.1 complète pour intégration custom.

03

Webhook temps réel

Push immédiat des indicateurs high-confidence dès leur production. Delivery via webhook HTTP, intégration native avec Slack, Microsoft Teams, Discord. SLA < 5 minutes depuis la validation.

04

File dump · email digest

Pour systèmes legacy : dump CSV / JSON / MISP quotidiens ou hebdomadaires via SFTP/HTTPS. Email digest hebdomadaire pour CISO avec summary statistique (volume, novel indicators, top actors, secteurs touchés).

Honnêteté technique

Quand activer un flux custom n'a pas de sens.

Un flux de Custom Threat Intelligence n'a de sens que si l'organisation dispose de la capacité technique pour le consommer : un SIEM/EDR/firewall qui supporte l'intégration TI via STIX/TAXII ou API, et une équipe SOC avec la capacity pour intégrer et gérer une nouvelle source.

Sans l'un de ces deux éléments, le flux ne produit que du bruit non utilisé. Dans ces cas, les advisories verticales sectorielles (capability 03) ou un Executive Briefing périodique (capability 04) sont plus efficaces — tous deux consommables sans intégration technique.

Vous n'êtes pas sûrs d'en avoir besoin ? Parlons-en. Si vous n'en avez pas besoin, Fortgale vous le dira.

Intégration

Le flux fait partie d'un système plus large.

Les IOC du flux alimentent la detection du SOC/MDR Fortgale, supportent l'Incident Response en temps réel et se combinent avec le Threat Actor Profiling pour produire une intelligence contextuelle sur vos incidents.

SOC européen · 24·7·365

Les detections alimentées par le flux

Chaque nouvel IOC entre automatiquement dans les règles du SOC Fortgale. La detection est enrichie en temps réel avec le contexte des acteurs qui ont généré l'indicateur.

Découvrir le SOC →
MDR · detection augmentée

MDR avec TI propriétaire

Le MDR Fortgale ne s'appuie pas uniquement sur les règles du vendor EDR : il les enrichit avec le flux propriétaire, augmentant le taux de detection et réduisant les faux positifs.

Découvrir le MDR →
CTI · capability 01

Combiné avec TA Profiling

Le flux répond à "cet IOC est-il malveillant ?". Le Threat Actor Profiling répond à "qui se cache derrière cet IOC ?". Ensemble, ils produisent une intelligence contextualisée.

Découvrir TA Profiling →
CTI · capability sister

Les 6 autres capabilities du service CTI

Threat Actor Profiling · Advisories verticales · Executive Briefing · Deep & Dark Web · Attack Surface Management · Brand & Social Intelligence. Le flux est la capability 02 sur 7.

Voir toutes les capabilities →
À présenter au Conseil

Trois slides pour justifier l'investissement.

Le CISO évalue le flux techniquement. Le Conseil demande ROI, sources, intégration. Fortgale prépare le tout · trois slides essentielles.

01 · L'investissement

Coût de la Custom Threat Intelligence vs flux commerciaux génériques · ROI attendu en termes d'augmentation du detection rate et de réduction du MTTR.

02 · La source

Indicateurs produits depuis des incidents réels sur les services Fortgale et la recherche proactive, non rachetés à des agrégateurs partagés avec des centaines d'autres clients.

03 · L'intégration

Stack de sécurité existante · intégration standard STIX/TAXII · effort d'onboarding typique 2-5 jours · rotation et validation automatiques.

Le pack « 3 slides Conseil » est inclus dans l'onboarding du flux · également disponible on-demand.

FAQ

Questions fréquentes sur le Threat Intelligence Feed.

D'où proviennent les IOC du flux Fortgale ?

De trois sources convergentes : ① les incidents réels traités quotidiennement par les services SOC, MDR et Incident Response Fortgale ; ② la recherche active de l'équipe CTI sur threat actors et infrastructures criminelles ; ③ le tracking continu d'outils offensifs connus (Cobalt Strike, Sliver, infostealers, kits de phishing, worms, APT tooling). Ce sont des indicateurs produits en interne, non rachetés à des agrégateurs partagés avec d'autres clients.

Combien d'outils et de threat actors sont suivis ?

Plus de 180 outils offensifs et threat actors profilés par l'équipe CTI Fortgale. Ils incluent les C2 frameworks (Cobalt Strike, Sliver, Brute Ratel, Havoc, Mythic), infostealers (Lumma, RedLine, Vidar, StealC, Raccoon, Atomic), kits de phishing (Tycoon 2FA, Mamba 2FA, EvilProxy, W3LL, Caffeine), worms (Raspberry Robin), loaders (SystemBC, Matanbuchus, BumbleBee, IcedID) et l'outillage de groupes APT étatiques et cybercrime.

Quels formats et protocoles le flux supporte-t-il ?

Standards : STIX 2.1 / TAXII 2.1. Canaux : REST API avec OAuth2, webhook (Slack, Teams, Discord), email digest, file dump (CSV, JSON, MISP). Intégration Custom Threat Intelligence sur les principales plateformes MDR et SIEM (Splunk, Elastic, Sentinel, QRadar, Sumo, Chronicle, CrowdStrike, SentinelOne, Defender for Endpoint, Cortex, Trend Micro Vision One).

Comment fonctionnent le confidence score et le TTL des indicateurs ?

Chaque IOC dispose d'un confidence score (high/medium/low/deprecated) basé sur la source et le nombre de preuves indépendantes, et d'un TTL (time-to-live) basé sur la rotation typique de l'acteur. Exemple : une IP C2 Cobalt Strike validée par un incident réel a un confidence high et un TTL 14-30 jours ; un hash malware confidence high et TTL persistant ; un domaine newly-registered d'un kit de phishing confidence medium et TTL 48-72 heures.

Le flux intègre-t-il aussi les règles YARA, Sigma et Snort/Suricata ?

Oui. Au-delà des IOC atomiques (IP, domaines, hashes, URL), le flux inclut des règles YARA pour la detection de samples malware sur le filesystem, des règles Sigma pour la detection comportementale sur SIEM, des règles Snort/Suricata pour IDS/IPS. Toutes développées en interne par l'équipe CTI sur la base de samples réels analysés.

Puis-je recevoir uniquement des types spécifiques d'indicateurs (ex. uniquement C2 ransomware) ?

Oui. Le flux est filtrable par catégorie : type d'indicateur (IP, domain, hash, URL, YARA, Sigma), famille malware/kit/C2, groupe d'acteur, secteur victimologie, géographie, confidence score minimum. Configuration effectuée pendant l'onboarding et modifiable via console ou API.

Quand cela n'a-t-il PAS de sens d'activer un flux TI custom ?

Quand l'organisation ne dispose pas de SIEM/EDR/firewall supportant l'intégration de Custom Threat Intelligence, ou quand l'équipe de sécurité n'a pas la capacity pour intégrer un nouveau flux. Dans ces cas, il est plus efficace d'activer d'abord les advisories verticales sectorielles (capability 03) ou un Executive Briefing périodique (capability 04), qui ne nécessitent pas d'intégration technique.

Commencer avec le flux

Voyez immédiatement ce qui entrerait dans votre stack.

Demandez un sample du flux : 7 jours d'indicateurs réels avec confidence score, TTL et attribution. Vous le testez dans votre SIEM/EDR sans engagement · évaluez faux positifs, couverture, intégration.

Délai de réponse : < 1 jour ouvré.