情報をグラフとして扱う設計
CTIをグラフ問題として扱い、エンティティと関係を中心に据える。関係には根拠と時間範囲を付与し、説明可能な相関を作る。
| ✕従来の課題 | ✓革新的ソリューション |
|---|---|
| 情報がツールや表に散らばり、関係が属人化して監査と振り返りが回らない。 | グラフを主データモデルにして、エンティティ/関係/根拠を検索できる資産として管理し、時系列と来歴を追える。 |
| IOCと事件/対応が分断され、富化が遅く重複作業が増え、引き継ぎが口頭になる。 | 標準とコネクタで取り込み・相関・富化・配布を接続し、運用と対応を駆動する。 |
1docker --version && docker compose version1git clone https://github.com/OpenCTI-Platform/opencti.git && cd opencti && cp .env.sample .env1docker compose up -d1docker compose logs -f --tail=2001# 固定STIXバンドルを取り込み、重要な関係をスナップショット化| コアシーン | 対象読者 | ソリューション | 成果 |
|---|---|---|---|
| SOCのアラート相関と迅速な原因追跡 | SOC | アラートIOCを過去の文脈へ自動関連付け | トリアージと説明可能な結論が速くなる |
| ハンティングとATT&CKマッピング | ハンター | MITRE ATT&CK へ写像し根拠を付与 | 再利用できるハンティング資産が残る |
| IRの協業と監査の閉ループ | IR | 時系列/対応/チケット/証拠を集約 | 引き継ぎと振り返りが監査可能になる |
