简介

OpenCTI 是一个开源平台，允许组织管理其网络威胁情报知识和可观察对象。它的创建目的是为了结构化、存储、组织和可视化有关网络威胁的技术和非技术信息。

数据的结构化是使用基于 STIX2 标准 的知识模式来执行的。它被设计为一个现代的 Web 应用程序，包括 GraphQL API 和面向用户体验的前端。此外，OpenCTI 可以与其他工具和应用程序集成，如 MISP、TheHive、MITRE ATT&CK 等。

目标

该工具的目标是创建一个全面的工具，允许用户将技术信息（如 TTPs 和可观察对象）和非技术信息（如建议的归因、受害者学等）资本化，同时将每条信息链接到其主要来源（报告、MISP 事件等），具有诸如信息之间的链接、首次和最后观察到的日期、置信度等级等特性。该工具能够使用 MITRE ATT&CK 框架（通过专用连接器）来帮助结构化数据。用户也可以选择实施自己的数据集。

一旦数据被分析师在 OpenCTI 中资本化和处理，新的关系可能会从现有关系中推断出来，以便于理解和表示这些信息。这使用户能够从原始数据中提取和利用有意义的知识。 OpenCTI不仅允许进行导入，还支持以不同格式（CSV、STIX2捆绑包等）导出数据。目前正在开发连接器以加速该工具与其他平台之间的交互。

平台版本

OpenCTI平台有两个不同的版本：社区版（CE）和企业版（EE）。企业版的目的是提供需要特定研发投入的额外强大功能。您可以直接在平台设置中启用企业版。

• OpenCTI社区版，基于Apache 2, Version 2.0许可证。
• OpenCTI企业版，基于企业版许可证。

要了解OpenCTI企业版在功能方面的优势，只需查看Filigran网站上的企业版页面。您也可以通过在平台设置中启用它来试用此版本。

文档和演示

如果您想了解更多关于OpenCTI的信息，可以阅读该工具的文档。如果您希望了解OpenCTI平台的工作方式，可以使用向所有人开放的演示实例。该实例每晚重置，基于OpenCTI开发人员维护的参考数据。

发布下载

发布版本可在Github发布页面上获取。您还可以访问从仓库主分支生成的滚动发布包。

安装

安装OpenCTI平台所需的所有内容都可以在官方文档中找到。安装方式包括：

• 使用Docker
• 手动安装
• 使用Terraform（社区）
• 使用Helm charts（社区）

贡献

行为准则

OpenCTI采用了一套行为准则，我们希望项目参与者能够遵守。请阅读全文以了解哪些行为会被允许和禁止。

贡献指南

阅读我们的贡献指南，了解我们的开发流程、如何提出错误修复和改进建议，以及如何构建和测试您对OpenCTI的更改。

适合初学者的问题

为了帮助您熟悉我们的贡献流程，我们有一份适合初学者的问题列表，这些问题相对容易实现。这是一个很好的入门起点。

开发

如果您想积极帮助OpenCTI，我们创建了一份专门的文档，介绍如何部署开发环境以及如何开始修改源代码。

社区

状态和缺陷

目前OpenCTI正在积极开发中，如果您想报告错误或请求新功能，可以直接使用Github问题模块。

讨论

如果您需要支持或希望就OpenCTI平台展开讨论，欢迎加入我们的Slack频道。您也可以发送电子邮件至contact@filigran.io与我们联系。

关于

作者

OpenCTI是由Filigran公司设计和开发的产品。

数据收集

使用情况遥测

为了改进OpenCTI的功能和性能，该平台会收集与其使用和健康状况相关的匿名统计数据。

您可以在使用情况遥测文档中找到有关收集数据和相关用途的所有详细信息。

OpenStreetMap服务器

为了向OpenCTI用户提供制图功能，该平台使用专用的OpenStreetMap服务器（https://map.opencti.io）。为了监控使用情况并调整服务性能，Filigran会收集此服务器的访问日志（包括IP地址）。

使用此服务器即表示您授权Filigran收集这些信息。否则，您可以自由部署自己的OpenStreetMap服务器并相应地修改平台配置。

如果您已开始使用Filigran服务器但改变了主意，您有权访问、限制、更正、删除和接收您的数据。要行使您的权利，请将您的请求发送至privacy@filigran.io。