OpenCTI - Plateforme ouverte d'analyse de la cybermenace

Fonctionnalités

Graph de connaissance

La plateforme se base sur un hypergraphe de connaissance qui permet l'usage d'hyper-entité et d'hyper-relations incluant les relations imbriquées.

Modèle de données unifié

Du niveau tactique au niveau stratégique, toutes les informations sont liées dans un modèle de données unifié et consistant basé sur les standards STIX2.

Sourcing de l'origine des données

Toutes les relations entre les entités ont des attributs temporels et spaciaux et doivent être sourcé par un rapport au niveau de confiance défini.

Exploration et corrélation

L'ensemble des données peuvent être explorées grâce à des outils d'analyse et de corrélation incluant de nombreux plugins de visualisation.

Raisonnement automatique

Le moteur de base de données permet d'effectuer des inférences logiques à travers des déductions automatiques, pour dériver des faits implicites en temps réel.

Gestion des accès

Contrôle complet de l'accès aux données en utilisant des groupes avec des permissions basées sur un marquage des entités et des relations.

Technologies

Plateforme unifiée

Gestion de tous les niveaux de l’analyse de la menace

Principaux objectifs

Gestion des connaissances

Le premier objectif poursuivi par la plateforme OpenCTI est de fournir une puissante base de connaissance avec un schéma spécifiquement créé pour gérer des informations sur la cybermenace et les opérations cyber.

Avec de multiples outils et capacités de visualisation, les analystes sont à même d’explorer l’intégralité des données en pivotant sur la plateforme entre les entités et les relations. Ces dernières ayant la possibilité de porter des attributs de contexte, il est aisé d’avoir de multiples niveaux de contexte pour une entité donnée.

Visualisation des données

OpenCTI permet aux analystes de visualiser facilement toutes les entités et leurs relations. Plusieurs visualisation sont disponibles ainsi qu’un système d’analyse basé sur des widgets dynamiques. Par exemple, les utilisateurs peuvent comparer la victimologies de deux modes opératoires.

Dans le futur, la feuille de route OpenCTI inclut le développement d’une capacité d’investigation, permettant aux analystes d’explorer l’ensemble du graphe de connaissance en pivotant sur les entités dans un espace unifié.

Contexte des observables

Le but est de créer un outil simple permettant aux utilisateurs de capitaliser des informatiques techniques (comme les tactiques et les observables) et des informations non-techniques (comme les possibles attributions, la victimologie, etc.) tout en reliant chaque information à sa source primaire (un rapport, un évenement un MISP, etc.).

Tous les observables sont liés à des menaces avec toutes les informations nécessaires aux analystes pour comprendre pleinement la situation, le rôle joué par l’observable vis-à-vis de la menace, la source de l’information et le score du comportement malicieux.