OpenCTI開放的網(wǎng)絡(luò)威脅情報平臺

OpenCTI 即 Open Cyber Threat Intelligence Platform，開放網(wǎng)絡(luò)威脅情報平臺。它的創(chuàng)建是為了構(gòu)建、存儲、組織和可視化有關(guān)網(wǎng)絡(luò)威脅的技術(shù)和非技術(shù)信息。

它使用基于 STIX2 標(biāo)準(zhǔn)的知識模式來執(zhí)行數(shù)據(jù)的結(jié)構(gòu)化。并被設(shè)計為現(xiàn)代 Web 應(yīng)用程序，包括 GraphQL API 和面向 UX 的前端。此外，OpenCTI 可以與其他工具和應(yīng)用程序集成，如 MISP、TheHive、MITRE ATT 和 CK 等。

OpenCTI 的目標(biāo)是創(chuàng)建一個綜合工具，允許用戶利用技術(shù)（如 TTP 和可觀測量）和非技術(shù)信息，同時將每條信息鏈接到其主要來源（報告、MISP 事件等），并具有每個信息之間的鏈接、首次和最后看到的日期、置信水平等功能。該工具能夠使用 MITRE ATT 和 CK 框架（通過專用連接器）來幫助構(gòu)建數(shù)據(jù)。用戶還可以選擇實(shí)現(xiàn)自己的數(shù)據(jù)集。

一旦數(shù)據(jù)被利用和處理，就可以從現(xiàn)有關(guān)系中推斷出新的關(guān)系，以便于理解和表示這些信息。這允許用戶從原始數(shù)據(jù)中提取和利用有意義的信息。

OpenCTI 不僅允許導(dǎo)入，還允許以不同格式（CSV、STIX2 捆綁包等）導(dǎo)出數(shù)據(jù)。目前正在開發(fā)連接器以加速工具與其他平臺之間的交互。

安裝

• 使用 Docker（推薦）
• 手動安裝