情报即图数据的范式
底层范式是把CTI当作图数据库问题:实体(Indicator、Threat-Actor、Malware等)与关系(uses、attributed-to、targets等)是第一等公民,并为每条关系绑定证据与时间窗。
| ✕传统痛点 | ✓创新方案 |
|---|---|
| 情报分散在不同平台与表格里,关系依赖人工脑补,复盘和审计几乎不可做。 | 以图谱为主数据模型,把实体、关系与证据链做成可查询资产,支持时间线与溯源。 |
| IOC、事件与处置动作割裂:富化慢、重复劳动多、交接靠口头,质量难以规模化。 | 用标准与连接器把摄取、关联、富化、分发接成流水线,让情报能驱动运营与响应。 |
1docker --version && docker compose version1git clone https://github.com/OpenCTI-Platform/opencti.git && cd opencti && cp .env.sample .env1docker compose up -d1docker compose logs -f --tail=2001# 用固定STIX样本导入一次,导出关键实体/关系快照用于版本对比| 核心场景 | 目标人群 | 解决方案 | 最终收益 |
|---|---|---|---|
| SOC 告警联动与溯源加速 | SOC分析师 | 把告警中的IOC自动关联到历史实体、攻击技术与上下文 | 更快分级、定位与复盘,减少重复查询与误报成本 |
| 威胁狩猎与 ATT&CK 体系化映射 | 狩猎团队 | 把观测到的指标与行为映射到 MITRE ATT&CK 技术并补齐证据 | 形成可复用的狩猎资产与检测假设库 |
| IR 事件协同与审计闭环 | 应急响应负责人 | 集中管理时间线、处置动作、工单与证据 | 交接可追溯、复盘可审计、知识可沉淀为流程 |
