Guide OpenCTI
Maîtrisez OpenCTI, la plateforme open source de gestion des connaissances sur les menaces, permettant de centraliser et d'analyser les informations sur les cybermenaces.
Fonctionnalités clés
Gestion des menaces
Centralisation des informations sur les cybermenaces
Visualisation graphique
Représentation visuelle des relations entre entités
Collaboration
Partage et collaboration entre analystes
Intégrations
Connexion avec MISP, STIX et autres plateformes
Alertes temps réel
Notifications et alertes automatiques
Analyses temporelles
Suivi des menaces dans le temps
Types de données
Observables
Indicateurs de compromission et artefacts
Exemples :
Entités
Acteurs, groupes et organisations
Exemples :
Incidents
Événements et campagnes de sécurité
Exemples :
Malwares
Logiciels malveillants et leurs familles
Exemples :
Vulnérabilités
Failles de sécurité et exploits
Exemples :
Rapports
Documentation et analyses
Exemples :
Installation et configuration
Prérequis système
Configuration minimale requise
- Docker et Docker Compose
- 8 Go de RAM minimum
- 50 Go d'espace disque
- Ports 8080, 4000, 5432 disponibles
Installation Docker
Déploiement avec Docker Compose
# Cloner le dépôt git clone https://github.com/OpenCTI-Platform/opencti.git cd opencti/docker # Configurer les variables d'environnement cp .env.sample .env # Personnaliser la configuration nano .env # Lancer OpenCTI docker-compose up -d
Configuration initiale
Paramétrage de base
- Accéder à http://localhost:8080
- Se connecter (admin@opencti.io / admin)
- Changer le mot de passe
- Configurer les paramètres de base
Intégrations disponibles
MISP
Synchronisation avec MISP
STIX/TAXII
Support des standards STIX/TAXII
Connectors
Connecteurs externes
SIEM
Intégration avec les SIEM
Exemples d'utilisation API
Authentification
Connexion à l'API GraphQL
mutation {
token(input: {
email: "admin@opencti.io"
password: "admin"
})
}Créer un observable
Ajout d'un indicateur
mutation {
stixCyberObservableAdd(input: {
type: "IPv4-Addr"
IPv4_Addr: {
value: "1.2.3.4"
}
labels: ["malicious-activity"]
}) {
id
entity_type
value
}
}Rechercher des entités
Requête de recherche
query {
stixCoreObjects(
filters: [
{key: "entity_type", values: ["Malware"]}
]
) {
edges {
node {
id
entity_type
... on Malware {
name
labels
}
}
}
}
}Bonnes pratiques
Gestion des données
Organisation efficace des informations
- Utiliser une taxonomie cohérente
- Valider les sources de données
- Maintenir la qualité des données
- Documenter les processus
Analyse des menaces
Méthodologie d'analyse
- Corréler les indicateurs
- Analyser les patterns temporels
- Identifier les campagnes
- Évaluer la confiance
Collaboration
Travail d'équipe optimisé
- Partager les connaissances
- Utiliser les commentaires
- Assigner les responsabilités
- Maintenir la traçabilité
Démarrage rapide
Installation
Déployez OpenCTI avec Docker et configurez les services
Import de données
Importez vos premières données de threat intelligence
Analyse
Explorez les données avec les outils de visualisation
Automatisation
Configurez les connecteurs et l'automatisation
Compatibilité STIX 2.1
OpenCTI est entièrement compatible avec le standard STIX 2.1, permettant une interopérabilité maximale avec les autres plateformes de threat intelligence.