OpenCTI 中的实体类型说明

[Valdanitooooo]

机翻自文档 https://docs.opencti.io/latest/usage/exploring-analysis/

Analyses 分析

Reports

将报告视为一种容器，用于详细说明和构建特定报告中包含的内容，无论是来自来源还是您自己编写。将其视为 OpenCTI 中的情报生产。

Groupings

分组是容器，就像报告一样，但不代表情报生产。它们重新组合共享显式上下文的对象。例如，分组可能表示一组数据，经过充分的分析，这些数据将及时成熟以作为报告容器传送事件或威胁报告。

Malware Analyses

根据 STIX 2.1 标准的定义，恶意软件分析捕获对恶意软件实例或系列执行的特定静态或动态分析的元数据和结果。

Notes

通过此选项卡，您可以找到平台中已编写的所有注释，例如添加一些分析师关于某个对象的非结构化知识。

External references

智力永远不会凭空产生。外部引用为用户提供了一种将源或参考文档链接到平台中任何对象的方法。

Cases 案例

Incident Responses

此类案例专用于事件管理。事件响应案例并不代表一个事件，而是包含对特定事件的响应的所有上下文和操作。

Request for Information

CTI 团队经常被要求提供有关特定主题的广泛信息和分析，无论是与正在进行的事件还是特定趋势威胁相关。信息请求案例允许您存储与此类请求及其响应相关的上下文和操作。

Request for Takedown

当组织成为攻击活动的目标时，典型的响应操作可以是请求删除攻击基础设施的元素，例如冒充组织以对其员工进行网络钓鱼的域名，或用于传递网络钓鱼内容的电子邮件地址。由于 Takedown 在大多数情况下需要联系外部提供商并快速生效，因此通常需要特定的工作流程。请求删除案例为您提供了专门的空间来管理这些特定操作。

Tasks

在每种情况下，您都需要执行任务才能解决问题。通过“任务”选项卡，您可以查看所有创建的任务，以快速查看过期日期，或快速查看分配给特定用户的每个任务。

Feedbacks

如果您使用您的平台与其他团队互动并向他们提供 CTI 知识，一些用户可能想向您提供反馈。这些反馈很容易被视为另一种需要解决的案例，因为它通常涉及知识不一致或差距。

Events 活动

Incidents

在 OpenCTI 中，Incidents对应于信息系统上发生的负面事件。这可能包括网络攻击（入侵、网络钓鱼等）、由 SIEM 或 EDR 生成的需要进行资格认证的综合安全警报等。它也可以指在反击虚假信息的背景下的信息战攻击。

Sightings

对应于信息系统、个人或组织检测到（IP、域名、证书等）Sightings的事件。Observable大多数情况下，这对应于 SIEM 或 EDR 传输的安全事件。

Observed Data

Observed Data已根据 STIX 2.1 标准添加到 OpenCTI 中。您可以看到它有一个包含 Observables 的伪容器，例如一行防火墙日志。目前，它很少被使用。

Observations 观察

Observables

Observable代表不可变对象。 Observables 可以包含广泛的实体，例如 IPv4 地址、域名、电子邮件地址等。

Artefacts

在 OpenCTI 中，Artefacts是一个特定的 Observable。它可能包含一个文件，例如恶意软件样本。

Indicators

Indicator是检测对象。它由搜索模式定义，可以用各种格式表示，例如 STIX、Sigma、YARA 等。

Infrastructures

Infrastructure描述了旨在支持某种目的的任何系统、软件服务以及任何相关的物理或虚拟资源（例如，用作攻击一部分的 C2 服务器、作为防御一部分的设备或服务器、攻击目标的数据库服务器等） 。

Threats 威胁

Threat actors (Group)

威胁参与者（组）代表使用恶意软件和攻击基础设施等操作入侵集的物理攻击者群体。

Threat actors (Indvidual)

威胁行为者（个人）代表真正的攻击者，可以通过身体和个人属性和动机来描述。威胁参与者（个人）操作入侵集、使用恶意软件和基础设施等。

Intrusion sets

入侵集是网络威胁情报领域的一个重要概念。它是一组一致的技术和非技术元素，对应于威胁行为者的行为、方式和原因。它对于将多个攻击和恶意行为与已定义的威胁关联起来特别有用，即使没有足够的信息证明攻击者是谁。通常，随着您对威胁的了解不断加深，您会将入侵集与威胁参与者（团体或个人）联系起来。

Campaigns

活动代表在特定时间段内发生和/或针对组织/个人的一致子集的一系列攻击。

Arsenal 兵工厂

Malware

Malware代表专门设计用于损坏、破坏或未经授权访问计算机系统、网络或用户数据的任何代码片段。

Channels

Channels在网络安全的背景下，指行为者传播信息的地点或方式。此类别特别用于 FIMI（外国信息操纵干扰）的背景下。

Tools

Tools代表操作系统上已安装的合法软件或硬件应用程序，攻击者可能会出于恶意目的而滥用这些应用程序。 （例如LOLBAS）。

Vulnerabilities

Vulnerabilities是弱点或可能被攻击者利用来危害计算机系统或网络的安全性、完整性或可用性。

Techniques 技术

Attack pattern

威胁行为者执行攻击所使用的攻击模式。默认情况下，OpenCTI 配置有来自 MITRE ATT&CK 矩阵（对于 CTI）和 DISARM 矩阵（对于 FIMI）的攻击模式。

Narratives

在 OpenCTI 中，威胁行为者使用的叙述可以表示并链接到其他对象。叙事主要用于虚假信息活动的背景下，追踪威胁行为者已经使用和仍在使用哪些叙事非常重要。

Courses of action

行动方案是为防止攻击或响应正在进行的攻击而采取的行动。它可以描述技术性的、可自动化的响应（应用补丁、重新配置防火墙），但也可以描述更高级别的操作，例如员工培训或策略更改。例如，缓解漏洞的行动方案可以描述应用修复漏洞的补丁。

Data sources

数据源代表传感器/日志可以收集的各种信息主题/主题。数据源还包括数据组件、

Data components

数据组件标识与检测给定 ATT&CK 技术或子技术相关的数据源的特定属性/值。

Entities 实体

Sectors

活动领域。

Events

现实世界中的事件。

Organizations

具有特定目标的团体，例如公司和政府实体。

Systems

平台和软件等技术。

Individuals

真实的人。

Locations 位置

Regions

非常大的地理区域，例如大陆。

Countries

世界各国。

Areas

或多或少广泛的地理区域，并且通常没有非常明确的限制

Cities

世界上的城市。

Positions

地球上非常精确的位置。