La gestion des cybermenaces est complexe et nécessite une solution intégrée.
Sans une plateforme centralisée, les informations critiques peuvent être dispersées, rendant l’analyse inefficace.
OpenCTI offre une architecture modulaire et une API robuste pour centraliser et analyser les cybermenaces efficacement.
Maîtrisez les techniques clés pour exceller en tant qu'Analyste SOC
Pour une vue d’ensemble des outils et concepts liés à l’intelligence des menaces, consultez notre article principal sur Threat Intelligence.
OpenCTI : Présentation de la Solution
Plateforme d’analyse de cybermenace ouverte, modulaire et documentée, avec API robuste. Offre une gamme étendue de fonctionnalités incluant un graph de connaissance, un modèle de données unifié, corrélation automatique, et gestion des accès. Intègre une variété de connecteurs pour une connectivité étendue.
Architecture Docker et OpenCTI
Docker est essentiel pour exécuter des applications conteneurisées comme OpenCTI. Voici comment installer Docker sur votre instance Ubuntu EC2 :
Mettez à jour l’index de vos packages et installez-les packages nécessaires :
Installer les prérequis
Ajouter la clé GPG
Vérifiez l’empreinte digitale de la clé
Ajouter le dépôt stable
Créer un essaim Docker
Vérifier la version installée
Verifier les ID est le hostname est aussi statu pour notre docker node
Installer Portainer
Avant de lancer Portainer, nous devons changer le port client car il entrera en conflit avec OpenCTI. Vous pouvez effectuer cette modification en éditant le portainer-agent-stack.ymlfichier. Localisez la portssection et changez-la du port 8000/9000 au port 18000/19000 respectivement. La configuration devrait ressembler à ceci par la suite.
Les ports étant modifiés, nous pouvons désormais lancer Portainer en utilisant la commande suivante :
Vous pouvez ensuite vous connecter à Portainer en utilisant l’ip:19000 et en définissant votre mot de passe initial.
L’interface graphique fournit un aperçu complet de votre environnement de pile Docker.
Pour obtenir docker-compose.yml, téléchargez ou copiez le contenu depuis
https://github.com/OpenCTI-Platform/docker/blob/master/docker-compose.yml
Vous pouvez également créer votre propre référentiel git pour cela et pointer Portainer vers celui-ci. Dans Portainer, accédez à Stacks dans le volet de gauche
Puis ajoutez une nouvelle pile en collant le contenu du fichier docker-compose.yml dans l’éditeur Web .
Avant de déployer la pile, nous devons créer un certain nombre de variables d’environnement. Si vous regardez le docker-compose.ymlfichier, vous remarquerez un tas d’entrées ${VARIABLE}. Nous pouvons les ajouter comme Environment variables.
OpenCTI fournit un exemple. envde fichier
https://github.com/OpenCTI-Platform/docker/blob/master/.env.example
Qui peut être utilisé et modifié. Il va sans dire que vous devriez créer vos propres mots de passe forts. Chaque élément de campagne doit être ajouté manuellement dans la section des variables d’environnement. Il y a 13 variables au total.
Déploiement OpenCTI avec Portainer
Une fois le fichier docker-compose ajouter à l’éditeur Web et les variables d’environnement remplies, appuyez sur le Deploy the stackbouton et attendez.
Entre le déploiement de la pile et la disponibilité d’OpenCTI, il a fallu un certain temps. Il est probablement préférable de faire une pause en attendant que la pile soit prête.
Tout se passe bien, vous devriez pouvoir accéder à n’importe quelle adresse IP de votre essaim de dockers sur le port 8080 et obtenir une page de connexion OpenCTI.
Une fois connecté, le tableau de bord OpenCTI ressemble à ceci :
Et c’est à peu près tout en ce qui concerne l’installation.
De nombreuses données sont fournies immédiatement. Un bon exemple de ce dont OpenCTI est capable est de consulter APT28.
À l’aide de l’icône Flask (2e icône à gauche), accédez à Intrusion setspuis sélectionnez APT28. Ici, vous pouvez commencer à voir les détails et les rapports.
Si vous accédez à Knowledge, vous pouvez également commencer à voir d’où proviennent les rapports et la relation entre les indicateurs et les TTP utilisés par ce groupe.
Dans le volet de droite, vous pouvez voir les différents logiciels malveillants, techniques, outils, etc. associés.
Formez-vous gratuitement avec Alphorm !
Maîtrisez les compétences clés en IT grâce à nos formations gratuites et accélérez votre carrière dès aujourd'hui.
FAQ
Qu'est-ce qu'OpenCTI ?
Comment installer Docker pour OpenCTI ?
Comment configurer Portainer avec OpenCTI ?
Comment déployer une stack OpenCTI ?
Comment analyser les cybermenaces avec OpenCTI ?
Conclusion
OpenCTI offre une solution robuste pour l’analyse des cybermenaces. Comment envisagez-vous d’intégrer OpenCTI dans votre stratégie de sécurité informatique ?
