Wir sprachen kurz über Cyber-Bedrohungsinformationen, verwendete Tools und Plattformen und darüber, wie Bedrohungsdaten in diese Tools eingespeist werden. Wir haben die openCTI-Plattform behandelt und ihre Komponenten erläutert, einschließlich der Abschnitte Bedrohungen, Arsenal und Analyse. Wir beendeten das Video mit einem Ermittlungsszenario über eine Malware-Familie und Bedrohungsgruppe und nutzten openCTI, um Bedrohungsdaten zu sammeln. Dies war Teil von TryHackMe OpenCTI SOC-Level-1-Pfad.
Holen Sie sich Blue Team Notes
Kurs zu Techniken zur Eskalation von Windows-Berechtigungen
Beschreibung der Herausforderung
Vermitteln Sie ein Verständnis des OpenCTI-Projekts.
Video-Highlights
Cyber Threat Intelligence ist für Unternehmen in der Regel ein Rätsel, das es zu lösen gilt. Unternehmen kämpfen damit, Bedrohungsdaten auf sinnvolle Weise einzugeben, zu verarbeiten, zu analysieren und zu präsentieren. Aus den in der Übersicht verlinkten Räumen geht hervor, dass zahlreiche Plattformen entwickelt wurden, um dem Moloch Threat Intelligence die Stirn zu bieten.
OpenCTI
OpenCTI ist eine weitere Open-Source-Plattform, die Organisationen die Möglichkeit bietet, KTI durch die Speicherung, Analyse, Visualisierung und Darstellung von Bedrohungskampagnen, Schadsoftware und IOCs.
Zielsetzung
Entwickelt in Zusammenarbeit mit dem Französische Nationale Cybersicherheitsagentur (ANSSI)Das Hauptziel der Plattform besteht darin, ein umfassendes Tool zu schaffen, mit dem Benutzer technische und nicht-technische Informationen nutzen und gleichzeitig Beziehungen zwischen jeder Information und ihrer primären Quelle herstellen können. Die Plattform kann die MITRE ATT&CK-Framework um die Daten zu strukturieren. Darüber hinaus kann es mit anderen Threat-Intelligence-Tools integriert werden, wie MISP und TheHive. Räume zu diesen Tools wurden in der Übersicht verlinkt.
OpenCTI-Datenmodell
OpenCTI verwendet eine Vielzahl von Wissensschemata zur Strukturierung von Daten. Das wichtigste davon ist der Structured Threat Information Expression (STIX2) Standards. STIX ist ein serialisiertes und standardisiertes Sprachformat, das beim Austausch von Bedrohungsdaten verwendet wird. Es ermöglicht die Implementierung der Daten als Entitäten und Beziehungen, wodurch der Ursprung der bereitgestellten Informationen effektiv nachverfolgt werden kann.
Raumantworten
Welche Kill-Chain-Phase ist verbunden mit der Befehlszeilenschnittstelle Angriffsmuster?
Welche Registerkarte in der Kategorie Aktivitäten enthält die Indikatoren?
Wer ist der Autor der Entität?
Welche Angriffstechnik wird von der Schadsoftware zur Ausführung genutzt?
Wie viele Malware-Beziehungen sind mit dieser Angriffstechnik verknüpft?
Welche 3 Tools wurden 2016 von der Angriffstechnik verwendet? (Antwort: Tool1, Tool2, Tool3)
Welches Land ist APT37 verknüpft mit?
Welche Angriffstechniken verwendet die Gruppe für den Erstzugriff? (Antwort: Technik1, Technik2)
Video-Komplettlösung