인텔을 그래프로 다루는 패러다임
CTI를 그래프 문제로 취급해 엔터티와 관계를 중심에 둔다. 각 관계에 근거와 시간 범위를 붙여 설명 가능한 상관을 만든다.
| ✕기존 문제점 | ✓혁신적 솔루션 |
|---|---|
| 인텔이 도구·시트에 흩어지고 관계가 개인 지식에 남아 회고·감사가 어렵다. | 그래프를 주 데이터 모델로 삼아 엔터티/관계/근거를 조회 가능한 자산으로 만들고 타임라인·출처를 추적한다. |
| IOC와 사고/대응이 분리돼 엔리치가 느리고 중복 작업이 늘며 인수인계가 구두에 의존한다. | 표준과 커넥터로 수집·연관·엔리치·배포를 파이프라인화해 운영과 대응을 구동한다. |
1docker --version && docker compose version1git clone https://github.com/OpenCTI-Platform/opencti.git && cd opencti && cp .env.sample .env1docker compose up -d1docker compose logs -f --tail=2001# 고정 STIX 번들을 импорт하고 기대 관계를 스냅샷으로 저장| 핵심 시나리오 | 대상 고객 | 솔루션 | 최종 결과 |
|---|---|---|---|
| SOC 알림 상관분석과 추적 가속 | SOC 분석가 | 알림 IOC를 과거 문맥·기법과 자동 연계 | 트리아지와 설명 가능한 결론이 빨라진다 |
| 헌팅과 ATT&CK 매핑 | 헌팅 팀 | 관측을 MITRE ATT&CK에 매핑하고 근거를 부착 | 재사용 가능한 헌팅 자산이 쌓인다 |
| IR 협업과 감사 폐루프 | IR 리드 | 타임라인·조치·티켓·증거를 중앙화 | 인수인계/회고가 감사 가능해진다 |
