OpenCTI - открытая платформа для анализа киберугроз
Белый хакер 2,2022December 9,2022
OpenCTI - это платформа с открытым исходным кодом, позволяющая организациям управлять своими знаниями и наблюдаемыми данными о киберугрозах. Он был создан для того, чтобы структурировать, хранить, организовывать и визуализировать техническую и нетехническую информацию о киберугрозах.
Структурирование данных выполняется с использованием схемы знаний, основанной на стандартах STIX2. Она была разработана как современное веб-приложение, включающее GraphQL API и интерфейс, ориентированный на UX. Кроме того, OpenCTI может быть интегрирован с другими инструментами и приложениями, такими как MISP, TheHive, MITRE ATT & CK и др.
Цель
Цель состоит в том, чтобы создать комплексный инструмент, позволяющий пользователям извлекать выгоду из технической (например, TTP и наблюдаемые) и нетехнической информации (например, предполагаемая атрибуция, список жертв и т. Д.), связывая каждую часть информации с ее основным источником (отчет, неправильное событие и т. Д.), С такими функциями, Каккак ссылки между каждой информацией, датами первого и последнего просмотра, уровнями достоверности и т. Д. Инструмент может использовать платформу MITRE ATT & CK (через специальный соединитель), чтобы помочь структурировать данные. Пользователь также может использовать свои собственные наборы данных.
После того, как данные были обобщены и обработаны аналитиками в OpenCTI, новые взаимосвязи могут быть выведены из существующих, чтобы облегчить понимание и представление этой информации. Это позволяет пользователю извлекать и использовать значимые знания из необработанных данных.
OpenCTI позволяет не только импортировать, но и экспортировать данные в различных форматах (CSV, пакеты STIX2 и т.д.). В настоящее время разрабатываются соединители для ускорения взаимодействия между инструментом и другими платформами.
Документация и демонстрация
Если вы хотите узнать больше об OpenCTI, вы можете прочитать документацию к инструменту. Если вы хотите узнать, как работает платформа OpenCTI, демонстрационный экземпляр доступен и открыт для всех. Этот экземпляр сбрасывается каждую ночь и основан на справочных данных, поддерживаемых разработчиками OpenCTI.
Релизы загружаются
Релизы доступны на странице релизов Github. Вы также можете получить доступ к пакету текущей версии, созданному из ветки mater репозитория.
Установка
Все, что вам нужно для установки платформы OpenCTI, можно найти в официальной документации. Для установки вы можете:
- Развертывание шаблона виртуальной машины
- Используйте Docker (рекомендуется)
- Используйте Terraform или Helm-Chart (версия для сообщества)
- Установка вручную
Содействие
Кодекс поведения
OpenCTI приняла Кодекс поведения, которого, как мы ожидаем, будут придерживаться участники проекта. Пожалуйста, прочтите полный текст, чтобы вы могли понять, какие действия будут и не будут допускаться.
Руководство по внесению вклада
Прочтите наше руководство, чтобы узнать о нашем процессе разработки, о том, как предлагать исправления и улучшения, а также о том, как создавать и тестировать изменения в OpenCTI.
Проблемы, связанные с новичками
Чтобы помочь вам ознакомиться с нашим процессом внесения вклада, у нас есть список проблем для начинающих, которые довольно легко реализовать. Это отличное место для начала.
Разработка
Если вы хотите активно помогать OpenCTI, мы создали специальную документацию о развертывании среды разработки и о том, как начать модификацию исходного кода.
Сообщество
Статус и ошибки
В настоящее время OpenCTI находится в стадии интенсивной разработки, если вы хотите сообщить об ошибках или запросить новые функции, вы можете напрямую использовать модуль проблем Github.
Mr.Brain Proger
