OpenCTI 介绍
OpenCTI 即 Open Cyber Threat Intelligence
Platform,开放网络威胁情报平台。它的创建是为了构建、存储、组织和可视化有关网络威胁的技术和非技术信息。
它使用基于 STIX2 标准的知识模式来执行数据的结构化。并被设计为现代 Web 应用程序,包括 GraphQL API 和面向 UX
的前端。此外,OpenCTI 可以与其他工具和应用程序集成,如 MISP、TheHive、MITRE ATT 和 CK 等。
OpenCTI 的目标是创建一个综合工具,允许用户利用技术(如 TTP 和可观测量)和非技术信息,同时将每条信息链接到其主要来源(报告、MISP
事件等),并具有每个信息之间的链接、首次和最后看到的日期、置信水平等功能。该工具能够使用 MITRE ATT 和 CK
框架(通过专用连接器)来帮助构建数据。用户还可以选择实现自己的数据集。
一旦数据被利用和处理,就可以从现有关系中推断出新的关系,以便于理解和表示这些信息。这允许用户从原始数据中提取和利用有意义的信息。
OpenCTI 不仅允许导入,还允许以不同格式(CSV、STIX2
捆绑包等)导出数据。目前正在开发连接器以加速工具与其他平台之间的交互。