Paradigma de intel como grafo
Trata CTI como problema de grafo: entidades y relaciones son de primera clase y cada relación puede llevar evidencia y ventana temporal para atribución defendible.
OpenCTI convierte la inteligencia de amenazas en un sistema operativo de grafo. No busca acumular IOC, sino conectar actores, infraestructura, malware, técnicas y respuesta con entidades, relaciones y evidencia para consultar, explicar y repetir decisiones. Se alinea con estándares como STIX y TAXII, y usa conectores para integrar feeds, enriquecimiento, sandboxes y ticketing/alertas en un único plano de datos, habilitando el ciclo ingestar→correlacionar→enriquecer→distribuir→actuar. Para SOC/IR, el valor es control y auditoría: cada afirmación queda anclada a evidencia y línea temporal con gobernanza.
| ✕Problemas Tradicionales | ✓Soluciones Innovadoras |
|---|---|
| La intel se dispersa entre herramientas y hojas; las relaciones dependen de memoria humana y la auditoría se vuelve difícil. | Modelo graph-first para convertir entidades, relaciones y evidencia en activos consultables con línea temporal y procedencia. |
| IOC, incidentes y acciones están desconectados: enriquecimiento lento, trabajo duplicado y handoffs poco confiables. | Estándares y conectores encadenan ingesta, correlación, enriquecimiento y distribución como pipeline operativo. |
1docker --version && docker compose version1git clone https://github.com/OpenCTI-Platform/opencti.git && cd opencti && cp .env.sample .env1docker compose up -d1docker compose logs -f --tail=2001# Importa un bundle STIX fijo y captura entidades/relaciones esperadas para comparar| Escenario Principal | Público Objetivo | Solución | Resultado |
|---|---|---|---|
| Correlación SOC y atribución más rápida | analistas SOC | correlacionar IOC de alertas con contexto histórico | triage más rápido y conclusiones defendibles |
| Hunting con mapeo ATT&CK | hunters | mapear observaciones a MITRE ATT&CK y adjuntar evidencia | activos de hunting reutilizables |
| IR con colaboración y auditoría | líderes IR | centralizar timeline, acciones, tickets y evidencia | handoff trazable y retrospectiva auditable |
