OpenCTI翻译站点

OpenCTI是一个由法国国安机构ANSSI主导开发的开源威胁情报平台，它专注于帮助安全团队结构化地整合、分析、关联和共享来自多源的威胁情报数据。该平台的核心目标是解决威胁情报信息孤立、格式不一、难以追溯和协同分析的痛点，通过一个统一的知识图谱模型，将碎片化的攻击指标、攻击者、恶意软件、攻击模式等元素连接起来，形成可操作的安全洞察。

主要功能

OpenCTI平台围绕威胁情报的生命周期，提供了一套完整的功能集合：

• 情报数据摄取与丰富：平台内置连接器框架，可自动从STIX/TAXII Feeds、MISP实例、恶意软件沙箱、漏洞数据库等多种内部外部源获取数据，并能调用外部服务（如Virustotal）对实体进行自动丰富。
• 知识图谱建模与分析：所有情报实体（如攻击组织、攻击方式、恶意软件、漏洞、目标行业等）及其复杂关系（如“利用”、“归属”、“瞄准”）都以知识图谱形式存储和可视化，支持通过图分析挖掘隐藏的关联和攻击链。
• STIX 2.1标准原生支持：整个平台的数据模型完全基于STIX 2.1标准构建，确保了情报的表达精确、语义一致，并天然支持与其他兼容STIX标准的工具进行无缝数据交换。
• 可观测数据管理：允许用户精细化管理入侵指标（IOC），包括设置可信度、失效时间（TTL），并将其与上层的威胁行为者、攻击活动进行关联，避免孤立地看待单个指标。
• 情报报告与工作流协作：支持创建包含完整上下文的情报报告，并内置工作流系统（如分配任务、添加标签、标记状态）来管理从分析到发布的情报生产全过程，促进团队协作。
• 强大的调查与搜索能力：提供全局搜索和高级筛选功能，用户可以基于任何实体属性（如攻击者别名、使用的恶意软件哈希、目标国家等）快速定位相关信息，并沿着知识图谱的关系链路进行深度调查。

核心特点

适用人群

• 企业安全运营中心（SOC）分析师：用于丰富告警上下文、追踪攻击活动、生成威胁简报。
• 威胁情报团队：作为核心平台进行情报的收集、研判、生产和分发。
• 安全研究与应急响应（CSIRT）团队：用于管理事件调查中的线索，关联历史攻击事件，沉淀调查知识。
• 希望提升威胁情报能力的安全管理者：用于统一管理内部威胁情报资产，衡量团队产出，实现情报驱动的安全体系建设。
• 开发安全工具的研究人员：可利用其开放的API和标准化的数据模型，构建上层应用或进行威胁数据分析。

价格说明

OpenCTI是一个开源软件，其核心代码在GitHub上基于Apache 2.0许可证开源，可以免费下载、部署和使用。商业支持、托管服务或企业增强功能需访问官网查看最新价格。

总结

对于寻求超越简单IOC管理、希望构建体系化威胁情报能力的企业和安全团队而言，OpenCTI提供了一个强大而专业的开源选择。它通过知识图谱和STIX标准将碎片化的威胁信息转化为结构化的知识资产，极大地提升了情报的分析效率和协同价值。尽管部署和上手需要一定的技术投入，但其带来的上下文深度和操作化潜力，使其成为现代威胁情报平台的标杆之一。