OpenCTI es una plataforma de código abierto que permite a las organizaciones gestionar sus conocimientos y observables de inteligencia sobre ciberamenazas. Ha sido creada para estructurar, almacenar, organizar y visualizar información técnica y no técnica sobre ciberamenazas.
La estructuración de los datos se realiza utilizando un esquema de conocimiento basado en los estándares STIX2. Se ha diseñado como una aplicación web moderna que incluye una API GraphQL y un frontend orientado a la UX. Además, OpenCTI puede integrarse con otras herramientas y aplicaciones como MISP, TheHive, MITRE ATT&CK, etc.
https://github.com/MISP/MISP
https://github.com/TheHive-Project/TheHive
https://github.com/mitre/cti
Objetivo de OpenCTI
El objetivo es crear una herramienta completa que permita a los usuarios capitalizar información técnica (como TTP y observables) y no técnica (como atribución sugerida, victimología, etc.), vinculando al mismo tiempo cada dato a su fuente primaria (un informe, un evento MISP, etc.), con características como vínculos entre cada información, fechas de primera y última vez que se vio, niveles de confianza, etc. La herramienta puede utilizar el framework ATT&CK de MITRE (a través de un conector específico) para ayudar a estructurar los datos. El usuario también puede optar por implementar sus propios conjuntos de datos.
Una vez que los datos han sido capitalizados y procesados por los analistas dentro de OpenCTI, se pueden inferir nuevas relaciones a partir de las existentes para facilitar la comprensión y la representación de esta información. Esto permite al usuario extraer y aprovechar conocimientos significativos de los datos en bruto.
OpenCTI no sólo permite importar, sino también exportar datos en distintos formatos (CSV, paquetes STIX2, etc.). Actualmente se están desarrollando conectores para acelerar las interacciones entre la herramienta y otras plataformas.
Configuración de OpenCTI
Hay varias formas de ejecutar OpenCTI. Si sólo quieres probarlo, la forma más sencilla es utilizar la demo alojada, que requiere un registro gratuito.
Si deseas tener tu propia instalación, puedes utilizar una plantilla VM preconfigurada, Docker, Terraform (para plataformas en la nube), o instalar manualmente OpenCTI en Linux.
Si no te gusta el tema oscuro predeterminado, ve a Settings > Configuration > Theme.
Tour OpenCTI
Páginas
La navegación de la izquierda proporciona acceso a las principales páginas de OpenCTI.
- Dashboard: una visión general de las principales etiquetas, entidades activas, países objetivo, últimos análisis ingestados, distribución de observables, etc.
- Analysis: informes de diversas fuentes, notas, opiniones y referencias externas
- Events: incidentes, avistamientos y datos observados
- Observations: observables, artefactos, indicadores e infraestructura.
- Threats: actores de amenazas, conjuntos de intrusiones (TTP, herramientas, malware, infraestructura), campañas
- Arsenal: malware, patrones de ataque (TTP), cursos de acción ATT&CK, herramientas y vulnerabilidades (CVE)
- Entities: sectores, países, ciudades, posiciones geográficas, organizaciones, sistemas, individuos
- Data: datos y administración de datos dentro de OpenCTI (entidades, tareas en segundo plano, conectores, sincronización, compartición de datos, colecciones TAXII)
- Settings: Configuración de OpenCTI (parámetros, flujos de trabajo, políticas de retención, motor de reglas, etiquetas y atributos)
Pestañas
Dependiendo de la página que estés viendo, verás pestañas en la parte superior de la página que proporcionan más información.
- Overview: información general sobre la entidad
- Knowledge: muestra las relaciones entre las entidades, los observables vinculados y los indicadores
- Entities: otras entidades que han sido vinculadas a la entidad
- Observables: elementos técnicos que pueden haber sido observados (direcciones IP, nombres de dominio, hashes, etc.)
- Data: ficheros relacionados con la entidad
- Sightings: dónde se ha visto el observable o indicador
- History: historial de cambios
- Analysis: informes que incluyen la entidad
- Indicators: reglas de detección de comportamientos maliciosos (STIX2, SNORT, Suricata, YARA).
https://github.com/OpenCTI-Platform/opencti/