OTX
OTX 是什么?
OTXOTX 是一个开放的社区型威胁情报交换平台 —— 最初由 AlienVault 推出,现归 LevelBlue 运营 —— 研究人员在此以 Pulse 的形式发布指标。
开放威胁交换(OTX)最初由 AlienVault 推出,目前由 LevelBlue 运营,是一个免费的众包平台。研究人员、安全厂商和 SOC 分析师在 OTX 上发布 Pulse:围绕某一特定攻击活动、恶意软件家族或威胁行为者整理的指标、上下文与参考资料集合。订阅者可以通过 Web 界面、REST API、STIX/TAXII 或与 SIEM、EDR、TIP 产品的集成来消费 Pulse。OTX 被广泛用作低成本的情报富化来源和威胁狩猎的起点,但防御方通常会将其与付费情报和经过审核的 ISAC 内容结合使用,以获得高置信度的检测。每个 Pulse 的社区反馈循环有助于快速发现误报。
● 示例
- 01
订阅一个钓鱼工具包相关的 Pulse,将其 URL 导入 SIEM 监视列表。
- 02
把内部调查中发现的 IoC 作为 Pulse 发布,以告知更广泛的社区。
● 常见问题
OTX 是什么?
OTX 是一个开放的社区型威胁情报交换平台 —— 最初由 AlienVault 推出,现归 LevelBlue 运营 —— 研究人员在此以 Pulse 的形式发布指标。 它属于网络安全的 防御与运营 分类。
OTX 是什么意思?
OTX 是一个开放的社区型威胁情报交换平台 —— 最初由 AlienVault 推出,现归 LevelBlue 运营 —— 研究人员在此以 Pulse 的形式发布指标。
OTX 是如何工作的?
开放威胁交换(OTX)最初由 AlienVault 推出,目前由 LevelBlue 运营,是一个免费的众包平台。研究人员、安全厂商和 SOC 分析师在 OTX 上发布 Pulse:围绕某一特定攻击活动、恶意软件家族或威胁行为者整理的指标、上下文与参考资料集合。订阅者可以通过 Web 界面、REST API、STIX/TAXII 或与 SIEM、EDR、TIP 产品的集成来消费 Pulse。OTX 被广泛用作低成本的情报富化来源和威胁狩猎的起点,但防御方通常会将其与付费情报和经过审核的 ISAC 内容结合使用,以获得高置信度的检测。每个 Pulse 的社区反馈循环有助于快速发现误报。
如何防御 OTX?
针对 OTX 的防御通常结合技术控制与运营实践,详见上方完整定义。
OTX 还有哪些其他名称?
常见的别称包括: AlienVault OTX, LevelBlue OTX, 开放威胁交换。
● 相关术语
- defense-ops№ 1105
STIX
STIX 是 OASIS 制定的开放标准,以结构化、机器可读的语言表示和交换网络威胁情报。
- defense-ops№ 1133
TAXII Protocol
TAXII 是 OASIS 制定的基于 HTTPS 的应用层协议,用于在组织之间发布、发现和消费威胁情报,通常承载 STIX 内容。
- defense-ops№ 684
MISP
MISP 是一个开源威胁情报平台,用于收集、存储、关联并在可信社区之间共享结构化指标和分析师上下文。
- defense-ops№ 1158
TLP
TLP 是由 FIRST 维护的一套简单标签方案,用于标明共享的网络安全信息的敏感程度以及允许的再分发范围。
- defense-ops№ 527
入侵指标(IoC)
可观察的取证工件,如文件哈希、IP、域名、URL 或注册表键,可表明系统曾被或正被攻陷。
- defense-ops№ 1148
威胁情报
关于威胁与威胁行为者的、基于证据的知识——包含指标、TTP 和背景——用于指导安全决策与检测。