OTX
Qu'est-ce que OTX ?
OTXOTX est une plateforme ouverte et communautaire d'echange de threat intelligence — initialement AlienVault, desormais LevelBlue OTX — ou les chercheurs publient des indicateurs sous forme de Pulses.
Open Threat Exchange (OTX), lance a l'origine par AlienVault et exploite aujourd'hui par LevelBlue, est une plateforme gratuite et communautaire ou chercheurs, editeurs et analystes SOC publient des Pulses : des lots curates d'indicateurs, de contexte et de references rattaches a une campagne, une famille de malware ou un acteur. Les abonnes consomment les Pulses via l'interface web, l'API REST, STIX/TAXII ou des integrations avec SIEM, EDR et TIP. OTX est largement utilise comme source d'enrichissement a faible cout et point de depart pour le hunting, mais les defenseurs le combinent generalement avec des flux payants et du contenu ISAC valide pour des detections a forte confiance. La boucle de feedback communautaire sur chaque Pulse aide a reperer rapidement les faux positifs.
● Exemples
- 01
S'abonner a un Pulse sur un kit de phishing et integrer ses URLs en watchlist SIEM.
- 02
Publier les IoC d'une investigation interne sous forme de Pulse pour informer la communaute.
● Questions fréquentes
Qu'est-ce que OTX ?
OTX est une plateforme ouverte et communautaire d'echange de threat intelligence — initialement AlienVault, desormais LevelBlue OTX — ou les chercheurs publient des indicateurs sous forme de Pulses. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie OTX ?
OTX est une plateforme ouverte et communautaire d'echange de threat intelligence — initialement AlienVault, desormais LevelBlue OTX — ou les chercheurs publient des indicateurs sous forme de Pulses.
Comment fonctionne OTX ?
Open Threat Exchange (OTX), lance a l'origine par AlienVault et exploite aujourd'hui par LevelBlue, est une plateforme gratuite et communautaire ou chercheurs, editeurs et analystes SOC publient des Pulses : des lots curates d'indicateurs, de contexte et de references rattaches a une campagne, une famille de malware ou un acteur. Les abonnes consomment les Pulses via l'interface web, l'API REST, STIX/TAXII ou des integrations avec SIEM, EDR et TIP. OTX est largement utilise comme source d'enrichissement a faible cout et point de depart pour le hunting, mais les defenseurs le combinent generalement avec des flux payants et du contenu ISAC valide pour des detections a forte confiance. La boucle de feedback communautaire sur chaque Pulse aide a reperer rapidement les faux positifs.
Comment se défendre contre OTX ?
Les défenses contre OTX combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de OTX ?
Noms alternatifs courants : AlienVault OTX, LevelBlue OTX, Open Threat Exchange.
● Termes liés
- defense-ops№ 1105
STIX
STIX est un standard OASIS qui definit un langage structure et lisible par machine pour representer et echanger la cyber threat intelligence entre organisations et outils.
- defense-ops№ 1133
TAXII Protocol
TAXII est un protocole applicatif OASIS au-dessus de HTTPS pour publier, decouvrir et consommer de la threat intelligence — generalement du contenu STIX — entre organisations.
- defense-ops№ 684
MISP
MISP est une plateforme open source de threat intelligence pour collecter, stocker, correler et partager des indicateurs structures et du contexte analytique entre communautes de confiance.
- defense-ops№ 1158
TLP
TLP est un schema d'etiquetage simple maintenu par FIRST qui signale le niveau de sensibilite d'une information partagee et avec qui elle peut etre redistribuee.
- defense-ops№ 527
Indicateur de Compromission (IoC)
Artefact observable — hash, IP, domaine, URL, clé de registre — qui suggère qu'un système est ou a été compromis.
- defense-ops№ 1148
Renseignement sur les menaces
Connaissance fondée sur des preuves concernant les menaces et leurs auteurs — indicateurs, TTP et contexte — utilisée pour orienter les décisions de sécurité et la détection.