Wir sprachen kurz über Cyber-Bedrohungsinformationen, verwendete Tools und Plattformen und darüber, wie Bedrohungsdaten in diese Tools eingespeist werden. Wir haben die openCTI-Plattform behandelt und ihre Komponenten erläutert, einschließlich der Abschnitte Bedrohungen, Arsenal und Analyse. Wir beendeten das Video mit einem Ermittlungsszenario über eine Malware-Familie und Bedrohungsgruppe und nutzten openCTI, um Bedrohungsdaten zu sammeln. Dies war Teil von TryHackMe OpenCTI SOC-Level-1-Pfad.

Holen Sie sich Blue Team Notes

Kurs zu Techniken zur Eskalation von Windows-Berechtigungen

Beschreibung der Herausforderung

Vermitteln Sie ein Verständnis des OpenCTI-Projekts.

Video-Highlights

Cyber Threat Intelligence ist für Unternehmen in der Regel ein Rätsel, das es zu lösen gilt. Unternehmen kämpfen damit, Bedrohungsdaten auf sinnvolle Weise einzugeben, zu verarbeiten, zu analysieren und zu präsentieren. Aus den in der Übersicht verlinkten Räumen geht hervor, dass zahlreiche Plattformen entwickelt wurden, um dem Moloch Threat Intelligence die Stirn zu bieten.

OpenCTI

OpenCTI ist eine weitere Open-Source-Plattform, die Organisationen die Möglichkeit bietet, KTI durch die Speicherung, Analyse, Visualisierung und Darstellung von Bedrohungskampagnen, Schadsoftware und IOCs.

Zielsetzung

Entwickelt in Zusammenarbeit mit dem Französische Nationale Cybersicherheitsagentur (ANSSI)Das Hauptziel der Plattform besteht darin, ein umfassendes Tool zu schaffen, mit dem Benutzer technische und nicht-technische Informationen nutzen und gleichzeitig Beziehungen zwischen jeder Information und ihrer primären Quelle herstellen können. Die Plattform kann die MITRE ATT&CK-Framework um die Daten zu strukturieren. Darüber hinaus kann es mit anderen Threat-Intelligence-Tools integriert werden, wie MISP und TheHive. Räume zu diesen Tools wurden in der Übersicht verlinkt.

OpenCTI-Datenmodell

OpenCTI verwendet eine Vielzahl von Wissensschemata zur Strukturierung von Daten. Das wichtigste davon ist der Structured Threat Information Expression (STIX2) Standards. STIX ist ein serialisiertes und standardisiertes Sprachformat, das beim Austausch von Bedrohungsdaten verwendet wird. Es ermöglicht die Implementierung der Daten als Entitäten und Beziehungen, wodurch der Ursprung der bereitgestellten Informationen effektiv nachverfolgt werden kann.

Raumantworten

Wie heißt die Gruppe, die die 4H RAT Malware?

Welche Kill-Chain-Phase ist verbunden mit der Befehlszeilenschnittstelle Angriffsmuster?

Welche Registerkarte in der Kategorie Aktivitäten enthält die Indikatoren?

Welche Intrusion-Sets sind mit der Cobalt Strike-Malware mit einem guten Konfidenzniveau verknüpft? (Intrusion1, Intrusion2)

Wer ist der Autor der Entität?

Was ist das früheste aufgezeichnete Datum im Zusammenhang mit CaddyWischer? Format: JJJJ/MM/TT

Welche Angriffstechnik wird von der Schadsoftware zur Ausführung genutzt?

Wie viele Malware-Beziehungen sind mit dieser Angriffstechnik verknüpft?

Welche 3 Tools wurden 2016 von der Angriffstechnik verwendet? (Antwort: Tool1, Tool2, Tool3)

Welches Land ist APT37 verknüpft mit?

Welche Angriffstechniken verwendet die Gruppe für den Erstzugriff? (Antwort: Technik1, Technik2)

Video-Komplettlösung

,
Anmerkungen anzeigen

Motasem

Über den Autor

Ich erstelle Notizen zur Cybersicherheit, Notizen zum digitalen Marketing und Online-Kurse. Ich biete auch Beratung zum digitalen Marketing an, einschließlich, aber nicht beschränkt auf SEO, Google- und Meta-Anzeigen und CRM-Verwaltung.

Artikel anzeigen