OTX
Что такое OTX?
OTXOTX — открытая платформа обмена киберразведкой, изначально AlienVault, теперь LevelBlue OTX, где исследователи публикуют индикаторы, объединённые в Pulse.
Open Threat Exchange (OTX) — бесплатная краудсорсинговая платформа, изначально запущенная AlienVault и теперь поддерживаемая LevelBlue, на которой исследователи, вендоры и аналитики SOC публикуют Pulse — подобранные наборы индикаторов, контекста и ссылок, связанных с конкретной кампанией, семейством вредоносного ПО или актором. Подписчики получают Pulse через веб-интерфейс, REST API, STIX/TAXII или через интеграции с SIEM, EDR и TIP. OTX широко используется как дешёвый источник обогащения и отправная точка для хантинга, однако для надёжного детектирования его обычно дополняют платными фидами и проверенным содержимым ISAC. Обратная связь сообщества по каждому Pulse помогает быстро отсеивать ложные срабатывания.
● Примеры
- 01
Подписка на Pulse о фишинговом наборе и загрузка его URL в watchlist SIEM.
- 02
Публикация IoC внутреннего расследования в виде Pulse для информирования сообщества.
● Частые вопросы
Что такое OTX?
OTX — открытая платформа обмена киберразведкой, изначально AlienVault, теперь LevelBlue OTX, где исследователи публикуют индикаторы, объединённые в Pulse. Относится к категории Защита и операции в кибербезопасности.
Что означает OTX?
OTX — открытая платформа обмена киберразведкой, изначально AlienVault, теперь LevelBlue OTX, где исследователи публикуют индикаторы, объединённые в Pulse.
Как работает OTX?
Open Threat Exchange (OTX) — бесплатная краудсорсинговая платформа, изначально запущенная AlienVault и теперь поддерживаемая LevelBlue, на которой исследователи, вендоры и аналитики SOC публикуют Pulse — подобранные наборы индикаторов, контекста и ссылок, связанных с конкретной кампанией, семейством вредоносного ПО или актором. Подписчики получают Pulse через веб-интерфейс, REST API, STIX/TAXII или через интеграции с SIEM, EDR и TIP. OTX широко используется как дешёвый источник обогащения и отправная точка для хантинга, однако для надёжного детектирования его обычно дополняют платными фидами и проверенным содержимым ISAC. Обратная связь сообщества по каждому Pulse помогает быстро отсеивать ложные срабатывания.
Как защититься от OTX?
Защита от OTX обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия OTX?
Распространённые альтернативные названия: AlienVault OTX, LevelBlue OTX, Open Threat Exchange.
● Связанные термины
- defense-ops№ 1105
STIX
STIX — открытый стандарт OASIS, задающий структурированный, машиночитаемый язык для представления и обмена киберразведкой между организациями и инструментами.
- defense-ops№ 1133
TAXII Protocol
TAXII — прикладной протокол OASIS поверх HTTPS для публикации, обнаружения и получения киберразведывательных данных (как правило, контента STIX) между организациями.
- defense-ops№ 684
MISP
MISP — открытая платформа киберразведки для сбора, хранения, корреляции и обмена структурированными индикаторами и аналитическим контекстом в доверенных сообществах.
- defense-ops№ 1158
TLP
TLP — простая схема маркировки, поддерживаемая FIRST, которая указывает, насколько чувствительна разделяемая киберинформация и кому её можно перераспределять.
- defense-ops№ 527
Индикатор компрометации (IoC)
Наблюдаемый артефакт — хэш файла, IP, домен, URL, ключ реестра, — указывающий на то, что система была или находится в процессе компрометации.
- defense-ops№ 1148
Threat Intelligence
Основанные на доказательствах знания об угрозах и злоумышленниках — индикаторах, TTP и контексте — используемые для принятия решений по безопасности и настройки детектирования.