先日OpenCTIとMISPを連携させてみました。
その後、IoCデータが溜まってきているようなので、OpenCTIの使い勝手を少し確認してみましたので、その様子を記録しておきます。
1.トップ画面
内部でElasticを使っているせいなのか、全般的にとてもいかした画面で、SOCの大画面に投影しても映えそうです。
情報としては、集まってきているIoCの種類や数、そしてIoCに関連する攻撃グループの情報が表示されています。
2.攻撃グループの情報
こちらは上の画面の攻撃グループのグラフから、Turlaを選択した時の画面です。
この攻撃グループの概要やIoC提供者の情報が表示されています。
3.攻撃グループが保有するC2情報など
上の画像からトップメニューの「knowledge」を選択すると、この攻撃グループが保有するC2サイトなどの武器情報が表示されます。
表示がタイムラインになっていて、下にスクロールするほど新しい情報になるようです。
4.IoCリスト
上の画像からトップメニューの「Indicators」を選択すると、その攻撃グループに関連するIoCもリストで確認できます。
5.攻撃グループの一覧
また、攻撃グループの一覧をパネル形式で確認することも可能です。
コメントを残す