开放式网络威胁情报平台-OpenCTI

来源：https://github.com/OpenCTI-Platform/opencti

一、介绍

OpenCTI是一个开放源码的平台，允许组织管理他们的网络威胁情报知识和观察。它的创建是为了构建、存储、组织和可视化有关网络威胁的技术和非技术信息。

数据的结构化使用基于STIX2标准的知识模式来执行。它被设计成一个现代的web应用程序，包括一个GraphQL API和一个面向UX的前端。此外，OpenCTI还可以与其他工具和应用程序集成，如MISP、hive、MITRE ATT&CK等。

二、目标

目标是创建一个综合工具，允许用户利用技术信息（如TTP和可观察信息）和非技术信息（如建议的归属、受害者等），同时将每一条信息与其主要来源（报告、MISP事件等）相链接，并具有每一条信息之间的链接等功能，首先上次看到的日期、置信度等。该工具能够使用MITRE ATT&CK框架（通过专用连接器）帮助构建数据。用户还可以选择实现自己的数据集。

一旦OpenCTI内的分析人员对数据进行了资本化和处理，就可以从现有的关系中推断出新的关系，以便于理解和表示这些信息。这允许用户从原始数据中提取和利用有意义的知识。

OpenCTI不仅允许导入，还允许导出不同格式的数据（CSV、STIX2包等）。目前正在开发连接器，以加速工具与其他平台之间的交互。

OpenCTI是由法国国家网络安全局（ANSSI）、CERT-EU和Luatix非盈利组织合作开发的产品。

三、应用程序的体系结构

OpenCTI平台依赖于几个外部数据库和服务来工作。

3.1GraphQL API

API是OpenCTI平台的中心部分，允许客户端(包括前端)与数据库和代理进行交互。在NodeJS中构建，它实现了GraphQL查询语言。由于API目前还没有完整的文档，您可以通过GraphQL游乐场探索可用的方法和参数。在演示实例中提供了一个示例。

3.2写作工人

这些worker是独立的Python进程，它们仅使用RabbitMQ代理的消息来执行异步写查询。您可以启动任意数量的工作人员来提高编写性能。

3.3连接器

连接器是可以在平台上扮演4种不同角色的第三方软件(Python进程):

EXTERNAL_IMPORT，从远程数据源获取数据，将其转换为STIX2并将其插入OpenCTI平台。MITRE, MISP, CVE, AlienVault, FireEye

INTERNAL_IMPORT_FILE，通过UI或API从上传到OpenCTI的文件中提取数据。从PDFs、STIX2导入等中提取指标。

INTERNAL_ENRICHMENT，侦听新的OpenCTI实体或用户请求，从远程数据源提取数据以进行充实。通过外部服务、实体更新等来丰富观察对象。

INTERNAL_EXPORT_FILE，根据列出的实体或一个实体及其关系，从OpenCTI数据生成导出。STIX2导出，PDF导出，CSV列表生成等。

四、特点

4.1知识图

整个平台依赖于知识超图，允许使用超实体和超关系，包括嵌套关系。

4.2统一一致的数据模型

从操作层面到战略层面，所有信息都通过基于STIX2标准的unifed一致的数据模型进行链接。

4.3按设计提供数据来源

实体之间的每个关系都具有基于时间和基于空间的属性，并且必须由具有特定置信度的报告来确定来源。

4.4探索和相关性

整个数据集可以通过分析和相关引擎进行探索，包括许多可视化插件、MapReduce和Pregel计算。

4.5自动推理

数据库引擎通过演绎推理来执行逻辑推理，以便实时地派生出隐含的事实和关联。

4.6数据访问管理

使用基于实体和关系上的细粒度标记的具有权限的组来完全控制数据访问管理。