【opencti】一款专为网络安全团队打造的开源威胁情报知识管理平台
🚀 提米直达:opencti 项目链接
- 项目简介:
OpenCTI 是一个开源平台,帮助组织系统化地管理网络威胁情报(CTI)知识与可观测数据(observables),解决威胁信息零散、难以关联、不易复用等实际痛点。 - 核心功能:
- 基于 STIX2 标准构建结构化威胁知识图谱,统一描述技术指标(如 IOCs、TTPs)与非技术信息(如归因建议、受害行业等);
- 提供现代化 Web 应用界面 + GraphQL API,支持灵活查询与集成;
- 内置对 MITRE ATT&CK 框架的原生支持(通过专用连接器),便于按战术、技术分类组织威胁行为;
- 支持与其他主流安全工具双向联动,包括 MISP、TheHive、MITRE CTI 等;
- 具备数据导入(报告、事件等)与导出(CSV、STIX2 Bundle 等格式)能力;
- 支持从已有实体关系中自动推导新关联,辅助分析师发现潜在威胁模式;
- 提供社区版(CE)与企业版(EE)两种发行版本,后者含增强功能(需单独启用或订阅)。
- 快速上手:
请参考官方文档进行安装。官方推荐使用 Docker 部署,也支持手动安装、Terraform(社区维护)及 Helm Charts(社区维护)等方式。 - 适用场景:
适合网络安全运营中心(SOC)、威胁情报分析团队、红蓝队及具备一定安全分析能力的中大型企业使用。目标用户是需要长期积累、结构化沉淀威胁知识,并将其转化为可操作防御依据的安全从业者与情报分析师。 - 总结:
OpenCTI 以 STIX2 为基石,将威胁情报从“文档堆叠”升级为“可推理的知识网络”,兼具开放性、标准化和扩展性。其活跃的社区生态与多平台集成能力,使其成为构建组织级威胁情报中枢的务实之选;建议访问其主页获取更详细信息。