OpenCTI: Open-source cyber threat intelligence platform
2024/08/21 HelpNetSecurity — OpenCTI とはオープンソースとして設計された、CTI (cyber threat intelligence) のデータと観測値を管理するためのプラットフォームである。このプラットフォームは Filigran により開発されたものであり、STIX2 標準に基づいて構築されたナレッジ・スキーマを用いてデータを構造化していく。
GraphQL API とユーザー・フレンドリーなフロントエンドを備えた、最新の Web アプリケーション・アーキテクチャが特徴となっている。また、MISP や TheHive などのツールやアプリケーションと、この OpenCTI を統合すれば、サイバー脅威インテリジェンス管理の中心的ハブとしての機能が強化される。
このツールの目的は、技術的/非技術的データの効果的に活用にあるが、あらゆる情報のソースまで追跡可能であることを保証している。
主な機能として挙げられるのは、データポイントの相互リンク、および、最初と最後の参照日付の追跡に加えて、信頼レベルの評価などである。このツールは、データの構造化を支援する専用のコネクタを介して、MITRE ATT&CK フレームワークと統合されているが、ユーザーによるデータセットの組み込みにも対応する。
OpenCTI 内のアナリストがデータを処理し、キュレーションした後に、既存の関係から新たな関係が推論され、情報の理解と可視化が強化されていく。それによりユーザーは、生データから貴重な洞察を引き出し、有意義なナレッジを活用できるようになる。
ダウンロード
OpenCTI は、GitHub から無料でダウンロードできる。すべてのコンポーネントは、Docker イメージと手動によるインストール・パッケージとして出荷される。プロダクション環境での使用について開発者が推奨しているのは、ネイティブ・クラウド・サービスまたは Kubernetes などのオーケストレーション・システムを使用して、すべてのコンポーネントを依存関係も含めて、コンテナでデプロイする方式となる。
オープンソースの脅威インテリジェンス・プラットフォームが、このところ続々と記事化されています。よろしければ、2024/08/05 の「MISP とは? 脅威インテリジェンスを共有するための OSS プラットフォーム」と、2024/08/06 の「C2 Tracker はコミュニティ主導の IOC Feed ツール:Shodan と Censys を活用して何ができる?」を、ご参照ください。なんとなく、ワクワクしてくる展開ですね。
IoT OT Security News 
You must be logged in to post a comment.