OpenCTI yra atvirojo kodo platforma, skirta padėti organizacijoms valdyti savo kibernetinės grėsmės žvalgybos (CTI) duomenis ir stebimus duomenis.

Platforma, kurią sukūrė Filigranaskuria savo duomenis naudodama žinių schemą, sukurtą remiantis STIX2 standartai. Jame yra moderni žiniatinklio programų architektūra su GraphQL API ir patogi vartotojui priekinė dalis.

OpenCTI derinamas su kitais įrankiais ir programomis, pvz MISP, Avilys, MITER ATT&CKir tt didinant jos gebėjimą tarnauti kaip centrinis kibernetinės grėsmės žvalgybos valdymo centras.

Tikslas – sukurti visapusišką įrankį, kuris padėtų vartotojams efektyviai pasinaudoti technine (pvz., TTP ir stebimais duomenimis) ir netechnine informacija (pvz., siūloma priskyrimu, viktimologija ir kt.), taip užtikrinant, kad kiekvieną informaciją būtų galima atsekti iki jos. šaltinis.

Svarbios funkcijos apima duomenų taškų susiejimą, pirmosios ir paskutinės matytos datos stebėjimą, patikimumo lygių įvertinimą ir kt. Jis sukurtas siekiant struktūrizuoti, saugoti, tvarkyti ir vizualizuoti techninę ir netechninę informaciją apie kibernetines grėsmes. Tai suteikia vartotojams galimybę iš neapdorotų duomenų gauti vertingų įžvalgų ir panaudoti reikšmingų žinių.

OpenCTI ne tik leidžia importas bet ir duomenų eksportas įvairiais formatais (CSV, STIX2 paketai ir kt.). Jungtys Šiuo metu yra kuriami siekiant paspartinti įrankio ir kitų platformų sąveiką.

Taip pat skaitykite: Kaip „Blockchain“ pagerina sutarčių saugumą ir vientisumą CLM sistemose?

Platformos leidimai

OpenCTI platforma turi 2 skirtingus leidimus: Community (CE) ir Enterprise (EE). Enterprise Edition tikslas – suteikti papildomos ir galingos funkcijos kurioms reikalingos ypatingos investicijos į mokslinius tyrimus ir plėtrą. Įgalinti Enterprise Edition galite tiesiogiai platformos nustatymuose.

Norėdami suprasti, kokias funkcijas suteikia „OpenCTI Enterprise Edition“, tiesiog patikrinkite Įmonės leidimų puslapis „Filigran“ svetainėje. Taip pat galite išbandyti šį leidimą įjungę jį platformos nustatymuose.

OpenCTI naudojimo atvejai

Platforma gali būti naudojama įvairiuose kontekstuose tvarkyti grėsmių valdymo naudojimo atvejus nuo techninio iki labiau strateginio lygio. „OpenCTI“ buvo sukurtas kaip žinių grafikas, imantis įvestis (grėsmės žvalgybos sklaidos kanalai, pastebėjimai ir įspėjimai, pažeidžiamumas, turtas, artefaktai ir t. t.) ir generuojanti išvestis, pagrįsta integruotomis galimybėmis ir (arba) jungtimis.

Taip pat skaitykite: Kaip AI daro revoliuciją atsarginių kopijų kūrimo, atkūrimo ir kibernetinio saugumo srityse IT srityje?

Žemiau pateikiami keli naudojimo atvejų pavyzdžiai:

  • Kibernetinių grėsmių žvalgybos žinių bazė
  • Aptikimas kaip kodų tiekimas XDR, EDR, SIEM, ugniasienėms, tarpiniams serveriams ir kt.
  • Reagavimo į incidentus artefaktai ir atvejų valdymas
  • Pažeidžiamumų valdymas
  • Ataskaitų teikimas, perspėjimas ir informacijos suvestinė apie duomenų pogrupį
OpenCTI naudojimo atvejai

Vaizdo kreditas: https://docs.opencti.io/latest/usage/getting-started/

Sveiki atvykę į informacijos suvestinę

Pasisveikinimo puslapis suteikia bet kuriam OpenCTI platformos lankytojui apžvalgą, kas vyksta platformoje. Jį galima pakeisti a tinkintas prietaisų skydeliskurį sukūrė vartotojas (arba numatytoji informacijos suvestinė, nustatyta vaidmenyje, grupėje ar organizacijoje).

Sveiki atvykę į „OpenCTI“ informacijos suvestinę

Rodikliai prietaisų skydelyje

Skaičiai

Komponentas Aprašymas
Įsilaužimo rinkiniai Įsibrovimų rinkinių skaičius.
Kenkėjiška programa Kenkėjiškų programų skaičius.
Ataskaitos Ataskaitų skaičius.
Rodikliai Rodiklių skaičius.

Diagramos ir sąrašai

Komponentas Aprašymas
Aktyviausios grėsmės (3 paskutiniai mėnesiai) Didžiausios aktyvios grėsmės (grėsmės veikėjas, įsibrovimo rinkinys ir kampanija) per pastaruosius 3 mėnesius.
Labiausiai nukreiptos aukos (3 paskutiniai mėnesiai) Taikymo intensyvumas, susietas su konkrečių subjektų (organizacijos, sektoriaus, vietos ir kt.) ryšių tikslų skaičiumi per pastaruosius 3 mėnesius.
Sukurti santykiai Per pastaruosius 12 mėnesių sukurtų santykių apimtis.
Aktyviausia kenkėjiška programa (3 paskutiniai mėnesiai) Didžiausia aktyviausia kenkėjiška programa per pastaruosius 3 mėnesius.
Aktyviausi pažeidžiamumai (3 paskutiniai mėnesiai) Pažeidžiamumų su daugiausia ryšių per pastaruosius 3 mėnesius sąrašas.
Tikslinės šalys (3 paskutiniai mėnesiai) Taikymo intensyvumas, susietas su atitinkamos šalies santykių tikslų skaičiumi per pastaruosius 3 mėnesius.
Naujausi pranešimai Paskutinės ataskaitos, gautos platformoje.
Aktyviausios etiketės (3 paskutiniai mėnesiai) Populiariausios etiketės, suteiktos subjektams per pastaruosius 3 mėnesius.

Montavimas

Viskas, ko jums reikia norint įdiegti OpenCTI platformą, rasite oficialius dokumentus. Norėdami įdiegti, galite:

Atsisiųsti

OpenCTI galima nemokamai GitHub. Visi komponentai pristatomi kaip „Docker“ vaizdai ir rankinio diegimo paketai. Gamybos diegimui kūrėjai rekomenduoja įdiegti visus komponentus konteineriuose, kuriuose yra priklausomybių, naudojant vietines debesies paslaugas arba orkestravimo sistemas, pvz., Kubernetes.

Nuorodos

https://github.com/OpenCTI-Platform/opencti

https://docs.opencti.io/latest

https://docs.opencti.io/latest/usage/getting-started



Source link

By admin