点击下方小卡片关注情报分析师
OpenCTI是一个开源网络威胁情报平台(TIP)。它包括一个知识管理数据库,数据可视化以及可观察量和指标的上下文。它根据 STIX2 标准构建数据。
OpenCTI 生态系统包括许多连接器,包括用于数据输入、扩充、流使用者以及文件导入和导出的连接器。有AlienVault,CrowdStrike,Mandiant,MISP,MITRE ATT&CK,TAXII,VirusTotal,Shodan,Elastic,Splunk,STIX,Malego等的连接器。
OpenCTI Setup
有几种方法可以运行 OpenCTI。如果您只是想尝试一下,最简单的方法是使用托管演示,这需要免费注册。
如果要拥有自己的安装,可以使用预配置的 VM 模板、Docker、Terraform(适用于云平台),或在 Linux 上手动安装 OpenCTI。如果不喜欢默认的深色主题,请转到“设置”>“配置”>主题。
OpenCTI Tour
页面
左侧的导航提供对 OpenCTI 中主页的访问。
-
仪表板:顶级标签、活动实体、目标国家/地区、最新摄取分析、可观察量分布等的概述
-
分析:来自各种来源的报告,注释,意见和外部参考
-
事件:事件、目击事件和观测数据
-
观测值:可观察量、伪影、指标和基础结构
-
威胁:威胁参与者、入侵集(TTP、工具、恶意软件、基础架构)、营销活动
-
阿森纳:恶意软件、攻击模式 (TTP)、ATT&CK 行动方案、工具和漏洞 (CVE)
-
实体:部门,国家,城市,地理位置,组织,系统,个人
-
数据:OpenCTI 中的数据和数据管理(实体、后台任务、连接器、同步、数据共享、TAXII 集合)
-
设置:OpenCTI 设置(参数、工作流、保留策略、规则引擎、标签和属性)
制表符
根据你正在查看的页面,你将在页面顶部看到提供详细信息的选项卡。
-
概述:有关实体的一般信息
-
知识:显示实体之间的关系,链接的可观察量和指标
-
实体:已链接到实体的其他实体
-
可观察量:可能已被观察到的技术元素(IP地址,域名,哈希值等)
-
数据:与实体相关的文件
-
目击:已观察到的或指示器的位置
-
历史记录:更改历史记录
-
分析:包含实体的报告
-
指标:恶意行为检测规则(STIX2、SNORT、Suricata、YARA)。
-
![【情报工具】OpenCTI 网络威胁情报平台简介]( "【情报工具】OpenCTI 网络威胁情报平台简介")
长按识别下方二维码加入情报学院知识星球
知识星球APP内有超千篇情报专业资料可供下载
往期推荐
点个赞,证明你还爱我
原文始发于微信公众号(情报分析师):【情报工具】OpenCTI 网络威胁情报平台简介
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论