![\"\"](\"https:\/\/d-mashina.net\/wp-content\/uploads\/2024\/09\/Screenshot-2024-09-05-at-08.43.58-1024x603.png\")
<\/p>\nOdlo\u010dil sem se postavit OpenCTI. Kaj je sploh OpenCTI? OpenCTI je platforma za upravljanje in deljenje obve\u0161\u010devalnih informacij o kibernetski varnosti. Organizacijam omogo\u010da, da zbirajo, obdelujejo, analizirajo in distribuirajo informacije o gro\u017enjah in ranljivostih. OpenCTI podpira standarde in protokole, ki olaj\u0161ajo integracijo z drugimi orodji za varnost in analizo podatkov. Namenjena je pomo\u010di pri bolj\u0161em razumevanju gro\u017eenj, izbolj\u0161anju varnostnih ukrepov ter pove\u010danju splo\u0161ne u\u010dinkovitosti obvladovanja kibernetskih tveganj.<\/p>\n
Pomembno je opozoriti, da znotraj teme obve\u0161\u010danja o kibernetsnih gro\u017enjah (CTI) obstaja ve\u010d pomembnih podtem, ki jih je treba razumeti; kazalniki kompromisa, napredne vztrajne gro\u017enje in protokol svetlobnega signala so tri klju\u010dna podro\u010dja, ki jih je treba raziskati v zvezi s CTI.<\/p>\n
<\/p>\n
Kazalniki kompromisa (IOCs)<\/strong><\/p>\n Kazalniki kompromisa se nana\u0161ajo na podatke, ki lahko nakazujejo, da je bila organizacija morda ogro\u017eena s strani zunanjega akterja. Uporabljajo jih varnostne ekipe za obogatitev dnevnikov v SIEM, tako da, na primer, \u010de je nova domena ozna\u010dena za zlonamerno s strani ponudnika obve\u0161\u010devalnih informacij, in se zazna dejavnost med organizacijo in domeno, bi se morala varnostna ekipa opozoriti in izvesti preiskavo.<\/p>\n Vrste podatkov IOC vklju\u010dujejo:<\/p>\n Napredna vztrajna gro\u017enja (APT)<\/strong> je zapleten, trajajo\u010d kibernetski napad, v katerem napadalec vzpostavi neopa\u017eeno prisotnost v omre\u017eju, da bi ukradel ob\u010dutljive podatke skozi dalj\u0161e \u010dasovno obdobje. Napad APT je skrbno na\u010drtovan in zasnovan za infiltracijo specifi\u010dne organizacije, izogibanje obstoje\u010dim varnostnim ukrepom in delovanje brez opazovanja.<\/p>\n Protokol svetlobnega signala (TLP)<\/strong> je bil ustvarjen z namenom olaj\u0161anja ve\u010dje izmenjave informacij. TLP je niz oznak, ki se uporabljajo za zagotovitev, da se ob\u010dutljive informacije izmenjujejo z ustrezno publiko. Uporablja \u0161tiri barve za ozna\u010devanje pri\u010dakovanih meja deljenja, ki jih morajo upo\u0161tevati prejemniki.<\/p>\n OpenCTI je brezpla\u010den za nastavitev in delovanje, uporablja obve\u0161\u010devalne podatke iz odprtokodnih in lastni\u0161kih virov gro\u017eenj. Idealno je za uporabo v doma\u010dem laboratoriju na dockerju, \u010deprav ga lahko namestite tudi v organizaciji (priporo\u010damo uporabo Kubernetes). Ko za\u010dnete pridobivati podatke iz virov gro\u017eenj, hitro pridobite dostop do IOCs, poro\u010dil o gro\u017enjah, tehnik napada in \u0161e ve\u010d. Platforma samodejno usklajuje podobne obve\u0161\u010devalne podatke o gro\u017enjah, tako da lahko usklajujete ve\u010d virov gro\u017eenj z enotami.<\/p>\n Zaklju\u010dne misli<\/strong><\/p>\n OpenCTI je odli\u010den na\u010din za spoznavanje obve\u0161\u010danja o gro\u017enjah in je zabaven projekt, ki se ga lahko nau\u010dite doma, vendar ga lahko vedno namestite znotraj organizacije. OpenCTI se lepo integrira z MISP, kar je \u0161e en priljubljen vir odprtokodnih obve\u0161\u010devalnih informacij o gro\u017enjah.<\/p>\n Lastni\u0161ki viri obve\u0161\u010devalnih informacij o gro\u017enjah iz organizacij, kot so Recorded Future in ReliaQuest, so lahko zelo dragi; zato je odli\u010den na\u010din za dopolnitev va\u0161ih sistemov uporaba agregatorjev, kot sta MISP in OpenCTI (ali ustvarite svojega!). To lahko obogati va\u0161 SIEM in SOAR izdelke z obve\u0161\u010devalnimi podatki o gro\u017enjah, da dopolni omejene informacije, ki jih morda kupujete.<\/p>\n Za postavitev OpenCTI boste potrebovali virtualko z minimalno 16 GB spomina in 8 CPU, za za\u010detek. V kolikor boste dodajali ve\u010d in ve\u010d konektorjev, bodo tudi apetiti bo strojni opremi ve\u010dji. V enem naslednjih \u010dlankov bom opisal kako sem se lotil postavitve OpenCTI v Docker kontejnerjih.<\/p>\n","protected":false},"excerpt":{"rendered":" Odlo\u010dil sem se postavit OpenCTI. Kaj je sploh OpenCTI? OpenCTI je platforma za upravljanje in deljenje obve\u0161\u010devalnih informacij o kibernetski varnosti. Organizacijam omogo\u010da, da zbirajo, obdelujejo, analizirajo in […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[114,11,78,113],"tags":[],"class_list":["post-448","post","type-post","status-publish","format-standard","hentry","category-cybersecurity","category-docker","category-it","category-varnost"],"_links":{"self":[{"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/posts\/448","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/comments?post=448"}],"version-history":[{"count":1,"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/posts\/448\/revisions"}],"predecessor-version":[{"id":452,"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/posts\/448\/revisions\/452"}],"wp:attachment":[{"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/media?parent=448"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/categories?post=448"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/d-mashina.net\/index.php\/wp-json\/wp\/v2\/tags?post=448"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
![\"\"](\"https:\/\/d-mashina.net\/wp-content\/uploads\/2024\/09\/Screenshot-2024-09-05-at-08.42.15-1024x601.png\")
<\/p>\n![\"\"](\"https:\/\/d-mashina.net\/wp-content\/uploads\/2024\/09\/Screenshot-2024-09-05-at-08.42.59-1024x539.png\")
<\/p>\n