anithau28/OpenCTI-Powered-Threat-Intelligence-and-IOC-Correlation-Dashboard

# OpenCTI 驱动的威胁情报和 IOC 关联仪表板 🕵️ 一个企业级安全分析平台，旨在将原始威胁情报转化为可操作的、可视化的洞察。此仪表板直接集成到 **OpenCTI 生态系统** 中，为 SOC 分析师提供统一的“单点玻璃”来跟踪全球威胁行为者、TTP 和漏洞。 ## 📝 项目描述 此仪表板是基于 **Open Cyber Threat Intelligence (OpenCTI)** 框架构建的高性能可视化套件。利用 **pycti** Python SDK，它摄取结构化的 STIX 2.1 数据并通过专业、高保真度的 Web 界面呈现它。 ### **主要功能：** * **战略概览**：使用 Sunburst 和 Treemap 可视化进行高级态势评估。 * **战术 TTP 分析**：实时将对手技术映射到 **MITRE ATT&CK** 框架。 * **漏洞矩阵**：使用现实世界的利用情报对 CVE 进行基于风险的优先级排序。 * **关联引擎**：高级多维度搜索以揭示行为者、恶意软件和 IOC 之间的隐藏链接。 ## ⚙️ 项目要求 ### **系统规格** * **操作系统**：Windows 10/11、macOS 或 Linux（64 位） * **内存**：4 GB RAM（推荐 8 GB） * **Python**：v3.10 或更高版本 ### **软件依赖** * **pycti**：OpenCTI 官方 Python 客户端。 * **Streamlit**：用于用户界面的 Web 应用程序框架。 * **Plotly**：交互式图表和数据可视化库。 * **Pandas**：高速数据操作和转换引擎。 ## 🗄️ 数据库设置（OpenCTI） 此仪表板使用 **OpenCTI** 作为其中心情报数据库。您不需要设置本地的 SQL/NoSQL 数据库；相反，您通过其 API 连接到 OpenCTI 实例。 1. **主机**：使用官方演示实例（`https://demo.opencti.io`）或您组织的本地实例。 2. **API 令牌**： * 登录到您的 OpenCTI 平台。 * 导航到 **配置文件 > API 访问**。 * 复制您唯一的字母数字 API 令牌。 3. **权限**：确保您的 API 账户具有“分析师”或“管理员”权限以访问所有数据集。 ## 🚀 如何在本地运行项目 按照以下步骤在您的本地机器上启动仪表板： ### **1. 克隆仓库** ``` git clone https://github.com/OpenCTI-Platform/client-python.git cd client-python ``` ### **2. 设置虚拟环境** ``` # 创建环境 python -m venv venv # 激活（Windows） .\venv\Scripts\activate # 激活（macOS/Linux） source venv/bin/activate ``` ### **3. 安装要求** ``` pip install -r requirements.txt pip install streamlit pandas plotly ``` ### **4. 启动应用程序** ``` streamlit run app.py ``` ### **5. 访问仪表板** 打开您的浏览器并导航到 **`http://localhost:8501`**。在侧边栏中输入您的 OpenCTI URL 和 API 令牌以开始您的情报会话。 ## 🛠️ 项目架构 * **摄取**：通过 `pycti` 的安全 GraphQL 查询。 * **处理**：通过 `pandas` 的自动数据清洗和实体关联。 * **可视化**：通过 `plotly` 的动态、高保真渲染。 * **界面**：通过 `streamlit` 的专业“真白”分析师优先 UI。 *© 2026 OpenCTI 情报仪表板 | 企业版 | v2.1.0*

标签：Kubernetes, 逆向工具