点击下方小卡片关注情报分析师

OpenCTI是一个开源网络威胁情报平台（TIP）。它包括一个知识管理数据库，数据可视化以及可观察量和指标的上下文。它根据 STIX2 标准构建数据。

OpenCTI 生态系统包括许多连接器，包括用于数据输入、扩充、流使用者以及文件导入和导出的连接器。有AlienVault，CrowdStrike，Mandiant，MISP，MITRE ATT&CK，TAXII，VirusTotal，Shodan，Elastic，Splunk，STIX，Malego等的连接器。

OpenCTI Setup

有几种方法可以运行 OpenCTI。如果您只是想尝试一下，最简单的方法是使用托管演示，这需要免费注册。

如果要拥有自己的安装，可以使用预配置的 VM 模板、Docker、Terraform（适用于云平台），或在 Linux 上手动安装 OpenCTI。如果不喜欢默认的深色主题，请转到“设置”>“配置”>主题。

OpenCTI Tour

页面

左侧的导航提供对 OpenCTI 中主页的访问。

• 仪表板：顶级标签、活动实体、目标国家/地区、最新摄取分析、可观察量分布等的概述

• 分析：来自各种来源的报告，注释，意见和外部参考

• 事件：事件、目击事件和观测数据

• 观测值：可观察量、伪影、指标和基础结构

• 威胁：威胁参与者、入侵集（TTP、工具、恶意软件、基础架构）、营销活动

• 阿森纳：恶意软件、攻击模式 （TTP）、ATT&CK 行动方案、工具和漏洞 （CVE）

• 实体：部门，国家，城市，地理位置，组织，系统，个人

• 数据：OpenCTI 中的数据和数据管理（实体、后台任务、连接器、同步、数据共享、TAXII 集合）

• 设置：OpenCTI 设置（参数、工作流、保留策略、规则引擎、标签和属性）

制表符

根据你正在查看的页面，你将在页面顶部看到提供详细信息的选项卡。

• 概述：有关实体的一般信息

• 知识：显示实体之间的关系，链接的可观察量和指标

• 实体：已链接到实体的其他实体

• 可观察量：可能已被观察到的技术元素（IP地址，域名，哈希值等）

• 数据：与实体相关的文件

• 目击：已观察到的或指示器的位置

• 历史记录：更改历史记录

• 分析：包含实体的报告

• 指标：恶意行为检测规则（STIX2、SNORT、Suricata、YARA）。

长按识别下方二维码加入情报学院知识星球

知识星球APP内有超千篇情报专业资料可供下载