Inteligencia de Amenazas Accionable. Protección Proactiva.
Agregue, correlacione y actúe sobre amenazas antes de que impacten su organización.
TI Hub transforma datos dispersos de múltiples fuentes en alertas precisas y reglas de detección automatizadas.
PROPUESTA DE VALOR
El problema
Los equipos de seguridad enfrentan un diluvio de información: miles de IOCs diarios, múltiples feeds de inteligencia, CVEs publicados constantemente, y la presión de detectar amenazas antes de que sea demasiado tarde. La información existe, pero está fragmentada, descontextualizada y es difícil de operacionalizar.
La solución
Threat Intel Hub automatiza la recolección, enriquecimiento, correlación y distribución de información de seguridad. Convierte datos crudos en inteligencia accionable, genera alertas contextualizadas y crea reglas de detección automáticamente en su SIEM.
CARACTERÍSTICAS PRINCIPALES
Agregación Multi-Fuente
Recopile automáticamente inteligencia de 13+ fuentes especializadas incluyendo CISA KEV, NVD, EPSS, AlienVault OTX, VirusTotal, MISP, Cisco Talos, URLhaus, Spamhaus, OpenPhish, PhishTank y más. Una sola plataforma, todas las fuentes.
Correlación Inteligente
Motor de correlación que cruza IOCs con su base de datos histórica y eventos del SIEM en tiempo real. Identifique amenazas activas en su red antes de que causen daño.
Detección Automatizada
Generación automática de reglas en Wazuh cuando se detectan nuevos IOCs relevantes. Sin intervención manual, sin demoras, protección inmediata.
Alertas Contextualizadas
Cinco tipos de notificaciones categorizadas por criticidad y contexto. Cada alerta incluye el contexto necesario para actuar.
- Alert — Notificaciones generales sin IOCs específicos
- NVD Alert — Vulnerabilidades críticas (CVEs con EPSS > 0.8 o Zero-Days)
- Threat Advisory — Amenazas con IOCs de fuentes como Cisco Talos, Spamhaus, URLhaus
- Threat Anticipation — Coincidencias entre IOCs y eventos del SIEM
- Threat Hunting Rule Added — Confirmación de regla agregada a Wazuh
IOCs Exportables
Adjuntos Excel en cada notificación con IPs, URLs, dominios y hashes (MD5, SHA1, SHA256) listos para importar en sus herramientas de seguridad o compartir con su equipo.
Integración SIEM Nativa
Conexión bidireccional con Wazuh: búsqueda de coincidencias vía API, inyección automática de reglas y correlación continua con eventos de su infraestructura.
TIPOS DE ALERTAS
| Tipo | Descripción | Prioridad |
|---|---|---|
| Alert | Notificaciones generales sin IOCs específicos | Media |
| NVD Alert | Vulnerabilidades críticas (CVEs con EPSS > 0.8 o Zero-Days) | Alta |
| Threat Advisory | Amenazas con IOCs de fuentes como Cisco Talos, Spamhaus, URLhaus | Alta |
| Threat Anticipation | Coincidencias detectadas entre IOCs y eventos del SIEM | Crítica |
| Threat Hunting Rule Added | Confirmación de regla de detección agregada a Wazuh | Informativa |
FUENTES DE INTELIGENCIA INTEGRADAS
Vulnerabilidades y CVEs
- CISA KEV — Catálogo de Vulnerabilidades Conocidas Explotadas
- NIST NVD — Base de Datos Nacional de Vulnerabilidades
- FIRST EPSS — Puntuación de Probabilidad de Explotación
Enriquecimiento y Contexto
- AlienVault OTX — Pulsos de amenazas comunitarios
- VirusTotal — Análisis de archivos y URLs
- MISP — Plataforma de intercambio de inteligencia
Phishing y Fraude
- OpenPhish — Feed de URLs de phishing
- PhishTank — Base de datos colaborativa de phishing
Malware y C2
- URLhaus — URLs de distribución de malware
- Spamhaus DROP — Lista de IPs maliciosas
- Cybercrime Tracker — Servidores C2 y botnets
APT y Campañas
- APTnotes — Documentación de grupos APT
- Cisco Talos — Investigaciones de amenazas
BENEFICIOS CLAVE
| Perfil | Beneficios Clave |
|---|---|
| Equipo SOC |
|
| Threat Hunters |
|
| CISOs |
|
FLUJO DE OPERACIÓN
1. RECOLECCIÓN Feeds RSS, APIs REST, CSV, JSON, HTML scraping ↓ 2. NORMALIZACIÓN Extracción de IOCs: IPs, URLs, dominios, hashes ↓ 3. ENRIQUECIMIENTO OTX, VirusTotal, MISP - contexto y reputación ↓ 4. CORRELACIÓN Base de datos histórica + SIEM Wazuh ↓ 5. CATEGORIZACIÓN Tipo de amenaza, prioridad, categoría de alerta ↓ 6. GENERACIÓN DE REGLAS Inyección automática en Wazuh ↓ 7. NOTIFICACIÓN Email con Advisory + Excel de IOCs
CASOS DE USO
Detección Proactiva de Zero-Days
Cuando CISA agrega una vulnerabilidad al KEV o NVD publica un CVE crítico con EPSS alto, TI Hub genera inmediatamente una alerta de prioridad crítica y busca indicadores relacionados en su SIEM.
Respuesta a Campañas de Phishing
Al detectar nuevas URLs de phishing en OpenPhish o PhishTank, el sistema enriquece con VirusTotal, genera reglas de bloqueo en Wazuh y notifica al equipo con el listado completo de indicadores.
Threat Hunting Automatizado
Cuando Cisco Talos publica investigación sobre una nueva campaña con IOCs, TI Hub extrae automáticamente los indicadores, los correlaciona con 30 días de logs en Wazuh y genera reglas de detección persistentes.
Inteligencia de APT
Seguimiento continuo de grupos de amenazas mediante APTnotes, correlación de TTPs con su infraestructura y alertas cuando se detectan patrones asociados a actores conocidos.
ESPECIFICACIONES TÉCNICAS
| Característica | Detalle |
|---|---|
| Plataforma | Linux (Ubuntu/CentOS/RHEL) |
| Base de Datos | MySQL / MariaDB |
| SIEM Soportado | Wazuh (API Manager + Indexer) |
| Notificaciones | SMTP (HTML + Excel) |
| APIs | REST API para integración |
| Actualización | Configurable (horaria/diaria) |
| Almacenamiento IOC | +135,000 indicadores |
| Fuentes Activas | 13+ feeds de inteligencia |
TESTIMONIO
“Antes de TI Hub, nuestro equipo dedicaba horas revisando múltiples feeds manualmente. Ahora recibimos alertas contextualizadas con todo lo necesario para actuar. La correlación automática con Wazuh nos ha permitido detectar compromisos que de otra forma habríamos perdido.”
