Fonctionnalités

Graph de connaissance

La plateforme se base sur un hypergraphe de connaissance qui permet l'usage d'hyper-entité et d'hyper-relations incluant les relations imbriquées.

Modèle de données unifié

Du niveau tactique au niveau stratégique, toutes les informations sont liées dans un modèle de données unifié et consistant basé sur les standards STIX2.

Sourcing de l'origine des données

Toutes les relations entre les entités ont des attributs temporels et spaciaux et doivent être sourcé par un rapport au niveau de confiance défini.

Exploration et corrélation

L'ensemble des données peuvent être explorées grâce à des outils d'analyse et de corrélation incluant de nombreux plugins de visualisation.

Raisonnement automatique

Le moteur de base de données permet d'effectuer des inférences logiques à travers des déductions automatiques, pour dériver des faits implicites en temps réel.

Gestion des accès

Contrôle complet de l'accès aux données en utilisant des groupes avec des permissions basées sur un marquage des entités et des relations.

Technologies
Plateforme unifiée
Gestion de tous les niveaux de l’analyse de la menace
Principaux objectifs
Gestion des connaissances
Le premier objectif poursuivi par la plateforme OpenCTI est de fournir une puissante base de connaissance avec un schéma spécifiquement créé pour gérer des informations sur la cybermenace et les opérations cyber.
Avec de multiples outils et capacités de visualisation, les analystes sont à même d’explorer l’intégralité des données en pivotant sur la plateforme entre les entités et les relations. Ces dernières ayant la possibilité de porter des attributs de contexte, il est aisé d’avoir de multiples niveaux de contexte pour une entité donnée.
Visualisation des données
OpenCTI permet aux analystes de visualiser facilement toutes les entités et leurs relations. Plusieurs visualisation sont disponibles ainsi qu’un système d’analyse basé sur des widgets dynamiques. Par exemple, les utilisateurs peuvent comparer la victimologies de deux modes opératoires.
Dans le futur, la feuille de route OpenCTI inclut le développement d’une capacité d’investigation, permettant aux analystes d’explorer l’ensemble du graphe de connaissance en pivotant sur les entités dans un espace unifié.
Contexte des observables
Le but est de créer un outil simple permettant aux utilisateurs de capitaliser des informatiques techniques (comme les tactiques et les observables) et des informations non-techniques (comme les possibles attributions, la victimologie, etc.) tout en reliant chaque information à sa source primaire (un rapport, un évenement un MISP, etc.).
Tous les observables sont liés à des menaces avec toutes les informations nécessaires aux analystes pour comprendre pleinement la situation, le rôle joué par l’observable vis-à-vis de la menace, la source de l’information et le score du comportement malicieux.