Threat Intelligence Feed · IOC STIX/TAXII Fortgale
CTI · capability 02 · Threat Intelligence Feed

Feed di intelligence generati, non rivenduti.

Il feed CTI Fortgale nasce da tre fonti convergenti: gli incidenti gestiti dai nostri servizi SOC e MDR, la ricerca attiva su threat actor e infrastrutture criminali, l'analisi continua di strumenti offensivi — Cobalt Strike (configurazioni e watermark), infostealer, phishing kit, worm, APT tooling. Oltre 180 fra strumenti e attori tracciati, indicatori distribuiti via STIX/TAXII, REST API e webhook, integrazione nativa con SIEM, EDR, firewall, IDS/IPS.

Richiedi un sample del feed Esplora le 5 categorie ↓
180+Strumenti & attori tracciati
34 k+IOC settimanali
STIX 2.1+ TAXII · API · Webhook
Standard · protocolli
STIX 2.1
TAXII 2.1
MISP
OpenCTI
Standard · framework
MITRE ATT&CK
Sigma
YARA
Snort/Suricata
Il problema

Feed commerciali: aggregazione, non generazione.

La maggior parte dei vendor CTI rivende feed aggregati da fonti terze (VirusTotal, Mandiant, Recorded Future). Il valore aggiunto è minimo, lo stesso feed è venduto a centinaia di clienti contemporaneamente, gli IOC arrivano dopo che l'attacco è pubblico.

01

Aggregazione, non generazione

Vendor rivendono feed di terzi · stessi IOC venduti a centinaia di clienti. Vantaggio competitivo difensivo: zero.

02

Latenza · arrivo post-attacco

Gli IOC entrano nei feed dopo che l'attacco è pubblico. Servono a confermare l'incidente, non a prevenirlo.

03

Falsi positivi e rumore

Feed massivi senza contesto · SOC sovraccaricato · alert fatigue · controlli di blocco automatico spesso disattivati per troppo rumore.

La distinzione che cambia tutto

Feed aggregato vs feed generato.

La differenza non è di "qualità del catalogo" — è di fonte. Un feed generato a partire da incidenti reali ha contesto, tempestività e accuratezza che un feed aggregato non può avere strutturalmente.

Feed aggregato · commerciale
  • Indicatori comprati da fonti terze
  • Stesso feed venduto a centinaia di clienti
  • Latenza alta · post-attacco pubblico
  • Poco contesto, alto falso positivo
  • Confidence opaca · nessun TTL chiaro
Standard di settore
Feed Fortgale · generato
  • Indicatori da incidenti SOC/MDR/IR reali
  • Ricerca attiva su threat actor e infrastrutture
  • Tracking continuo di 180+ strumenti & attori
  • Confidence score esplicito · TTL per ogni IOC
  • Validazione interna · target FP <0.5%
Proprietario · actionable
Il metodo · 4 step

Da incidente a regola attiva nel SIEM.

Una pipeline tecnica documentabile che porta un artefatto osservato in un incidente reale fino alla regola attiva nel SIEM/EDR del cliente. Ogni step ha output verificabili e tempi misurabili.

  1. 01
    Da incidente reale a IOC validato

    Estrazione da incidenti SOC, MDR e IR

    Ogni incidente gestito dai servizi SOC, MDR e Incident Response Fortgale produce artefatti: IP osservati come C2, domini di delivery, hash di payload eseguito, URL malevoli, regole YARA per i sample analizzati. Indicatori reali, non simulati in sandbox isolata.

    SOC italiano 24·7MDR FortgaleIncident ResponseTelemetria EDR
  2. 02
    Dal panorama operativo agli indicatori

    Ricerca attiva su threat actor e infrastrutture

    Il team CTI conduce ricerca proattiva: hunting in deep & dark web, OSINT su forum criminali, monitoring di canali Telegram, registrar tracking, ASN profiling, certificate transparency log analysis. Le infrastrutture vengono identificate prima della loro attivazione contro i clienti.

    Dark web huntingRegistrar trackingASN profilingCertificate transparency
  3. 03
    Dal sample alla fingerprint

    Analisi strumentale · C2, malware, kit, worm, APT tooling

    Analisi continua di Cobalt Strike (parsing configurazioni, watermark, malleable profile), Sliver · Brute Ratel · Havoc · Mythic, infostealer (Lumma · RedLine · Vidar · StealC), phishing kit (Tycoon 2FA · EvilProxy · W3LL), worm (Raspberry Robin), loader e tooling di gruppi APT.

    Cobalt Strike profilingSample reversingConfig trackingYARA authoring
  4. 04
    Da indicatore validato a regola attiva

    Validazione, scoring, distribuzione automatica

    Ogni indicatore riceve confidence score (high / medium / low) e un TTL (time-to-live) basato sulla rotazione tipica dell'attore. Distribuzione automatica via STIX/TAXII 2.1, REST API, webhook direttamente alle piattaforme di sicurezza del cliente. Nessun ritardo da pipeline manuali.

    Confidence scoringTTL rotationSTIX 2.1 / TAXII 2.1Automated distribution
Categorie di tracking

Cinque famiglie di strumenti · tracciate in continuo.

Il feed Fortgale copre cinque famiglie principali di tooling offensivo. Per ciascuna, una metodologia di tracking specifica e indicatori distintivi.

Categoria 01

C2 framework tracking

Cobalt Strike · Sliver · Brute Ratel · Havoc · Mythic

I framework di Command & Control sono il cuore operativo di quasi ogni intrusione moderna. Fortgale traccia in continuo configurazioni, watermark, certificate fingerprint, malleable profile e TLS signature dei principali C2 framework — sia commerciali leakkati (Cobalt Strike, Brute Ratel) sia open-source (Sliver, Havoc, Mythic).

  • Cobalt Strike config parsing Estrazione automatica di sleep_time, jitter, spawn_to, malleable HTTP profile, watermark, server certificate. Identificazione di versioni leaked (watermark 0) e di cracked builders.
  • TLS / JA3 fingerprint Tracking di certificate thumbprint, JA3/JA3S signature, custom CA pattern. Distinzione tra deployment legittimi (red team contratti) e infrastrutture criminali.
  • Sliver C2 indicators Implant configuration, beacon timing, transport (mTLS, HTTPS, DNS, WireGuard), staging URI pattern. Sliver è in forte crescita 2024-2026 come alternativa open-source.
  • Brute Ratel C4 Tooling commerciale leakkato nel 2022, ora ampiamente abusato. Tracking di license fingerprint, profile signature, default URI pattern.
  • Havoc · Mythic · open-source C2 Profile fingerprinting, default port pattern, certificate generation pattern, agent configuration tracking.
Categoria 02

Infostealer tracking

Lumma · RedLine · Vidar · StealC · Raccoon · Atomic

Gli infostealer sono la fonte principale di credenziali rubate nei marketplace criminali e l'ingresso più frequente verso intrusioni ransomware. Fortgale traccia campagne, C2 panel, build version, configurazioni e infrastrutture di distribuzione.

  • Lumma Stealer (LummaC2) Top infostealer 2024-2025, MaaS distribuito via Telegram. Tracking di C2 panel, build ID, exfiltration endpoint, Telegram channel del seller, payload delivery pattern.
  • RedLine · Vidar · StealC Famiglie legacy ancora attive nel 2025-2026. Tracking di C2 IP, config decoder, encryption key, mutex pattern, build ID series.
  • Atomic / macOS infostealer AMOS, Banshee, Cthulhu — l'ecosistema macOS è cresciuto rapidamente. Tracking di delivery via fake installer (homebrew, Cracked apps, Sponsored Google Ads), C2 endpoint, exfiltration pattern.
  • Delivery infrastructure Fake CAPTCHA pages (ClickFix), SEO poisoning, malvertising via Google Ads, GitHub release abuse, YouTube description links.
  • Stolen log marketplace mapping Tracking di Russian Market, Genesis Market (post-takedown), Telegram log channels — correlazione tra build infostealer e logs in vendita.
Categoria 03

Phishing kit tracking

Tycoon · Mamba · EvilProxy · W3LL · Caffeine · Greatness

I phishing kit moderni AiTM bypassano MFA, intercettano cookie di sessione e replicano flow Microsoft / Google. Fortgale traccia kit, infrastruttura di delivery, panel admin e operatori.

  • Tycoon 2FA Kit AiTM premier 2024-2026, target Microsoft 365 / Google Workspace. Tracking di landing page signature, redirect chain, Cloudflare worker abuse, branded asset reuse.
  • Mamba 2FA · EvilProxy · W3LL Concorrenti diretti di Tycoon. Distinct fingerprint su landing structure, session hijack flow, custom JavaScript injectors.
  • Caffeine · Greatness · NakedPages Kit phishing-as-a-service più datati ma ancora attivi. Tracking di template, panel admin URL pattern, Telegram seller channel.
  • Delivery infrastructure Tracking di registrar di scelta (Namesilo, Reg.ru), pattern di Cloudflare tunnel, hosting compromessi WordPress, certificate Let's Encrypt fresh issuance.
  • Italian-targeted kit Kit con copy in italiano nativo (non traduzione automatica), branded di banche italiane (Intesa, Unicredit, Poste, BPER), Agenzia delle Entrate, INPS, SPID.
Categoria 04

Worm, loader, IAB tooling

Raspberry Robin · SystemBC · Matanbuchus · BumbleBee · IcedID

Worm, loader e Initial Access Broker tooling sono il vettore di ingresso preferito da gruppi ransomware top (RansomHub, Akira, LockBit). Tracciarli equivale a vedere l'intrusione 7-30 giorni prima che diventi ransomware.

  • Raspberry Robin USB worm → IAB. Tracking di msiexec abuse pattern, Tor onion C2, fodhelper.exe persistence, downloader follow-on (FakeUpdates, IcedID, BumbleBee).
  • SystemBC SOCKS5 proxy malware. Pairing frequente con RansomHub, LockBit, Cl0p. Tracking di C2 IP rotation, configuration extraction, encryption key.
  • Matanbuchus · BumbleBee · IcedID Loader MaaS — distribuiscono follow-on (Cobalt Strike, ransomware). Tracking di packer, C2 protocol fingerprint, configuration server pattern.
  • PrivateLoader · SmokeLoader Loader commodity ancora attivi nel 2025-2026. Tracking di affiliate ID, C2 panel, traffic distribution.
  • FakeUpdates / SocGholish Browser update fake, vettore di ingresso massivo. Tracking di compromised WordPress, payload URL pattern, persistence post-exploitation.
Categoria 05

APT tooling & state-affiliated

Tooling di gruppi statali tracciati contro l'Europa

Tooling sviluppato da o per gruppi APT statali: backdoor custom, RAT firmati, persistence kit avanzati, lateral movement framework. Fortgale traccia gli artefatti tecnici quando vengono osservati in incidenti reali o pubblicati da CERT/research community.

  • Russian-affiliated tooling GoldMax, GoldFinder, SombRAT, custom RAT con language artifacts. Tracking di builder signature, C2 protocol, persistence pattern.
  • Chinese-affiliated tooling PlugX, ShadowPad, Korplug variants, custom DLL sideloading. Tracking di loader hash, decryption key pattern, mutex naming.
  • Iranian-affiliated tooling DEV-0270, MuddyWater tooling, custom PowerShell framework. Tracking di obfuscation pattern, C2 endpoint.
  • North Korean-affiliated tooling Lazarus toolset (Manuscrypt, BeaverTail, AppleJeus), JS-based delivery, supply chain compromise via npm/PyPI.
  • Italian-targeted custom tooling Tooling sviluppato specificamente per target italiani/europei — BrokerLoader (Nebula Broker), tooling di operatori non statali ma con capability custom.
Tra i più tracciati

Sette strumenti che il feed monitora di continuo.

Un estratto dei 180+ strumenti e attori che il team CTI traccia: dal framework C2 più diffuso (Cobalt Strike) all'infostealer dominante del 2024-2026 (Lumma), dal kit AiTM più usato in Europa (Tycoon 2FA) all'Initial Access Broker che alimenta i top ransomware (Raspberry Robin).

C2 Framework · 2012-attivo

Cobalt Strike

Cobalt Strike · commerciale (leaked)
Tipo
Beacon C2 framework
Tracking
Config parsing · watermark · TLS fingerprint · malleable profile

Il framework C2 più tracciato al mondo. Fortgale fa parsing automatico delle Beacon configuration estratte da sample reali e da scan internet (Shodan-style), traccia watermark di versioni leakate, fingerprint TLS dei team server, malleable C2 profile patterns. Indicator turnover: 100-500 nuovi server tracked / settimana.

Watermark trackingMalleable profileTLS fingerprintTop tracked
Tracking · Top Richiedi gli IOC →
Infostealer · 2022-attivo · top 2025

Lumma Stealer

Lumma Stealer · MaaS
Tipo
Information stealer · credentials, cookies, crypto wallets
Tracking
C2 panel · build ID · Telegram channel · delivery URL

L'infostealer dominante del 2024-2026. Distribuito come MaaS via Telegram, con builder e panel C2 noti. Fortgale traccia C2 panel hostname rotation, build ID series, Telegram channel del seller, delivery URL pattern (ClickFix, SEO poisoning, malvertising).

MaaSTelegram-distributedClickFix deliveryTop stealer 2025
Tracking · Top Richiedi gli IOC →
Phishing kit · 2023-attivo

Tycoon 2FA

Tycoon 2FA · AiTM phishing kit
Tipo
Adversary-in-the-Middle MFA bypass · Microsoft 365 · Google
Tracking
Landing page signature · Cloudflare worker · redirect chain · session hijack

Kit AiTM premier che bypassa MFA su Microsoft 365 e Google Workspace. Tracking di landing page signature, abuse di Cloudflare worker per delivery, redirect chain via servizi legittimi (Google, YouTube), session cookie exfiltration pattern.

AiTM · MFA bypassM365 · GoogleCloudflare abuseItalian-targeted
Tracking · Active Richiedi gli IOC →
C2 Framework · 2019-attivo · in crescita

Sliver

Sliver · open-source C2 (BishopFox)
Tipo
Cross-platform C2 framework · Go-based
Tracking
Implant config · TLS cert · staging URI · transport pattern

Alternativa open-source a Cobalt Strike in forte crescita 2024-2026 come tooling criminale. Fortgale traccia implant configuration, default certificate generation, staging URI pattern, transport (mTLS, HTTPS, DNS, WireGuard) fingerprint.

Open-sourceGo-basedIn crescita 2025-26Cross-platform
Tracking · Active Richiedi gli IOC →
Worm / IAB · 2021-attivo

Raspberry Robin

Raspberry Robin · DEV-0856 / Storm-0856
Tipo
USB worm → Initial Access Broker
Tracking
msiexec pattern · Tor C2 · persistence keys · downloader follow-on

Worm USB evoluto in Initial Access Broker di primo piano per gruppi ransomware. Tracking di msiexec chained con regsvr32, fodhelper.exe persistence, Tor onion C2, downloader follow-on (FakeUpdates, IcedID, BumbleBee, Matanbuchus).

IAB pre-ransomwareUSB wormTor C2Top EU 2025-26
Tracking · Top Richiedi gli IOC →
Loader / Proxy · 2018-attivo

SystemBC

SystemBC · SOCKS5 proxy malware
Tipo
Proxy malware · ransomware pairing
Tracking
C2 IP rotation · config extraction · encryption key · mutex

Proxy SOCKS5 malware con pairing frequente con i top ransomware (RansomHub, LockBit, Cl0p). Tracking di C2 IP rotation pattern, automated config extraction, encryption key per famiglia, mutex naming convention.

Ransomware pairingSOCKS5 proxyLong-runningCross-family
Tracking · Top Richiedi gli IOC →
Loader · 2021-attivo · MaaS

Matanbuchus

Matanbuchus · MaaS loader
Tipo
Loader-as-a-Service · pre-ransomware
Tracking
Packer · C2 protocol · configuration server · build ID

Loader MaaS che distribuisce follow-on Cobalt Strike, ransomware, infostealer. Tracking di packer fingerprint, C2 protocol HTTPS pattern, configuration server hostname, build ID series. Spesso paired con campagne phishing ad alta convertibilità.

MaaS loaderPre-Cobalt StrikePhishing-deliveredMaaS
Tracking · Active Richiedi gli IOC →
Integrazioni native

Si integra con lo stack che avete già.

Il feed Fortgale è progettato per inserirsi nei processi esistenti del vostro team SOC senza richiedere migrazione di piattaforme. Standard aperti (STIX 2.1 / TAXII 2.1) e connettori nativi per i principali SIEM, EDR/XDR, firewall, IDS/IPS.

Standard & protocolli
STIX 2.1TAXII 2.1MISPOpenCTIJSON / CSV dump
SIEM
SplunkElastic SecurityMicrosoft SentinelIBM QRadarSumo LogicGoogle Chronicle
EDR · XDR
CrowdStrike FalconSentinelOne SingularityMicrosoft Defender for EndpointPalo Alto Cortex XDRTrend Micro Vision OneSophos Intercept X
Firewall · NGFW
Palo Alto NetworksFortinet FortiGateCheck Point QuantumCisco Secure FirewallSophos XGS
IDS/IPS · NDR
SuricataSnortZeek (Bro)Vectra AIDarktraceCisco Stealthwatch
Delivery channel
TAXII 2.1 endpointREST API (OAuth2)Webhook (Slack · Teams · Discord)Email digestMISP federation

Effort di onboarding tipico · 2-5 giorni lavorativi per connettori nativi. Custom integrations valutate caso per caso.

Qualità · metodologia

Confidence score esplicito. Falsi positivi sotto controllo.

Ogni indicatore nel feed riceve un confidence score (high / medium / low / deprecated) e un TTL (time-to-live) basato sulla rotazione tipica dell'attore o dell'infrastruttura. Niente flag generico "malicious" senza contesto.

High

Validazione multipla

Indicatore validato da incidente reale gestito dai servizi Fortgale (SOC/MDR/IR) o da multiple evidenze indipendenti su infrastruttura criminale. Rate di falsi positivi target <0.5%.

Medium

Fonte singola, contesto coerente

Indicatore osservato in una sola fonte con evidenze contestuali coerenti, oppure in fonte esterna affidabile non ancora verificata internamente. Suggerito per alerting/triage, non blocco automatico.

Low

Candidato in attesa

Indicatore candidato con un solo elemento di overlap, in attesa di validazione. Distribuito separatamente per analisti che vogliono visibilità early-stage, non per detection automatica.

Deprecated

TTL scaduto · flagged

Indicatore con TTL scaduto o invalidato da nuove evidenze. Resta nel feed con flag esplicito per evitare re-introduzione accidentale e per supporto retro-analisi su log storici.

L'output

Come viene consegnato il feed.

Quattro canali di distribuzione, scelti in base allo stack tecnico e ai processi del cliente. Standard aperti per integrazione automatica, formati legacy per chi non ha automation.

01

TAXII 2.1 endpoint dedicato

Endpoint TAXII 2.1 con credenziali dedicate per cliente, polling configurabile (15-60 minuti tipico). STIX 2.1 bundles con indicatori, malware, threat-actor, attack-pattern, course-of-action objects.

02

REST API · OAuth2

API REST con autenticazione OAuth2, query per tipo (IP / domain / hash / YARA / Sigma), per famiglia, per TTL window. Documentazione OpenAPI 3.1 completa per integrazione custom.

03

Webhook real-time

Push immediato di indicatori high-confidence appena prodotti. Delivery via webhook HTTP, integrazione nativa con Slack, Microsoft Teams, Discord. SLA < 5 minuti dalla validazione.

04

File dump · email digest

Per sistemi legacy: dump CSV / JSON / MISP giornalieri o settimanali via SFTP/HTTPS. Email digest settimanale per CISO con summary statistico (volume, novel indicators, attori top, settori toccati).

Onestà tecnica

Quando non ha senso attivare un feed custom.

Un feed di Custom Threat Intelligence ha senso solo se l'organizzazione ha la capacità tecnica di consumarlo: un SIEM/EDR/firewall che supporti TI integration via STIX/TAXII o API, e un team SOC con capacity per integrare e gestire un nuovo source.

Se non avete uno di questi due elementi, il feed produce solo rumore non utilizzato. In quei casi sono più efficienti gli advisory verticali di settore (capability 03) o un Executive Briefing periodico (capability 04) — entrambi consumabili senza integrazione tecnica.

Non siete sicuri se vi serve? Parliamone. Se non ne avete bisogno, ve lo diciamo.

Integrazione

Il feed è parte di un sistema più ampio.

Gli IOC del feed alimentano la detection del SOC/MDR Fortgale, supportano l'Incident Response in tempo reale e si combinano con il Threat Actor Profiling per produrre intelligence contestuale ai vostri incidenti.

SOC italiano · 24·7·365

Le detection alimentate dal feed

Ogni IOC nuovo entra automaticamente nelle regole del SOC Fortgale. La detection è enrichita in tempo reale con il contesto degli attori che hanno generato l'indicatore.

Scopri il SOC →
MDR · rilevamento aumentato

MDR con TI proprietaria

L'MDR Fortgale non usa solo le regole del vendor EDR: le arricchisce con il feed proprietario, alzando il tasso di rilevamento e riducendo i falsi positivi.

Scopri MDR →
CTI · capability 01

Combinato con TA Profiling

Il feed risponde a "questo IOC è malevolo?". Il Threat Actor Profiling risponde a "chi sta dietro questo IOC?". Insieme producono intelligence contestualizzata.

Scopri TA Profiling →
CTI · capability sister

Le altre 6 capability del servizio CTI

Threat Actor Profiling · Advisory verticali · Executive Briefing · Deep & Dark Web · Attack Surface Management · Brand & Social Intelligence. Il feed è la capability 02 di 7.

Vedi tutte le capability →
Da portare al CDA

Tre slide per giustificare l'investimento.

Il CISO valuta tecnicamente il feed. Il CDA chiede ROI, fonti, integrazione. Glielo prepariamo noi · tre slide essenziali.

01 · L'investimento

Costo della Custom Threat Intelligence vs feed commerciali generici · ROI atteso in termini di detection rate increment e riduzione MTTR.

02 · La fonte

Indicatori prodotti da incidenti reali sui servizi Fortgale e ricerca proattiva, non riacquistati da aggregatori condivisi con centinaia di altri clienti.

03 · L'integrazione

Stack di sicurezza esistente · integrazione standard STIX/TAXII · effort di onboarding tipico 2-5 giorni · rotazione e validazione automatiche.

Il pack «3 slide CDA» è incluso nell'onboarding del feed · disponibile anche on-demand.

FAQ

Domande frequenti sul Threat Intelligence Feed.

Da dove provengono gli IOC del feed Fortgale?

Da tre fonti convergenti: ① gli incidenti reali gestiti quotidianamente dai servizi SOC, MDR e Incident Response Fortgale; ② la ricerca attiva del team CTI su threat actor e infrastrutture criminali; ③ il tracking continuo di strumenti offensivi noti (Cobalt Strike, Sliver, infostealer, phishing kit, worm, APT tooling). Sono indicatori prodotti internamente, non riacquistati da aggregatori condivisi con altri clienti.

Quanti strumenti e threat actor sono tracciati?

Oltre 180 fra strumenti offensivi e threat actor profilati dal team CTI Fortgale. Includono C2 framework (Cobalt Strike, Sliver, Brute Ratel, Havoc, Mythic), infostealer (Lumma, RedLine, Vidar, StealC, Raccoon, Atomic), phishing kit (Tycoon 2FA, Mamba 2FA, EvilProxy, W3LL, Caffeine), worm (Raspberry Robin), loader (SystemBC, Matanbuchus, BumbleBee, IcedID) e tooling di gruppi APT statali e cybercrime.

Quali formati e protocolli supporta il feed?

Standard: STIX 2.1 / TAXII 2.1. Channel: REST API con OAuth2, webhook (Slack, Teams, Discord), email digest, file dump (CSV, JSON, MISP). Custom Threat Intelligence integration sulle principali piattaforme MDR e SIEM (Splunk, Elastic, Sentinel, QRadar, Sumo, Chronicle, CrowdStrike, SentinelOne, Defender for Endpoint, Cortex, Trend Micro Vision One).

Come funziona il confidence score e il TTL degli indicatori?

Ogni IOC ha un confidence score (high/medium/low/deprecated) basato sulla fonte e il numero di evidenze indipendenti, e un TTL (time-to-live) basato sulla rotazione tipica dell'attore. Esempio: un IP C2 Cobalt Strike validato da incidente reale ha confidence high e TTL 14-30 giorni; un hash malware confidence high e TTL persistente; un dominio newly-registered di un phishing kit confidence medium e TTL 48-72 ore.

Il feed integra anche YARA rules, Sigma rules e Snort/Suricata?

Sì. Oltre agli IOC atomici (IP, domini, hash, URL), il feed include YARA rules per detection di sample malware sul filesystem, Sigma rules per detection comportamentale su SIEM, Snort/Suricata rules per IDS/IPS. Tutte sviluppate internamente dal team CTI sulla base di sample reali analizzati.

Posso ricevere solo specifici tipi di indicatori (es. solo C2 ransomware)?

Sì. Il feed è filtrabile per categoria: tipo di indicatore (IP, domain, hash, URL, YARA, Sigma), famiglia di malware/kit/C2, gruppo attore, settore vittimologia, geografia, confidence score minimo. Configurazione effettuata in fase di onboarding e modificabile via console o API.

Quando NON ha senso attivare un feed di TI custom?

Quando l'organizzazione non ha SIEM/EDR/firewall che supporti integrazione di Custom Threat Intelligence, o quando il team di sicurezza non ha capacity per integrare un nuovo feed. In quei casi, è più efficiente attivare prima le advisory verticali di settore (capability 03) o un Executive Briefing periodico (capability 04), che non richiedono integrazione tecnica.

Inizia con il feed

Vedete subito cosa entrerebbe nel vostro stack.

Richiedete un sample del feed: 7 giorni di indicatori real-world con confidence score, TTL e attribuzione. Lo testate nel vostro SIEM/EDR senza impegno · valutate falsi positivi, copertura, integrazione.

Tempo di risposta: < 1 giorno lavorativo.