OpenCTI nedir?
OpenCTI, siber tehdit istihbaratının (CTI) yönetimini kolaylaştırmak için tasarlanmış açık kaynaklı bir platformdur. Kuruluşların siber tehditler hakkındaki bilgilerini verimli bir şekilde depolamalarına, düzenlemelerine, görselleştirmelerine ve paylaşmalarına olanak tanıyan yapılandırılmış bir ortam sağlar. Platform, bir kuruluş içindeki birden fazla ekibin merkezi bir istihbarat havuzuna katkıda bulunmasına ve bundan yararlanmasına olanak tanıyan işbirliği göz önünde bulundurularak oluşturulmuştur.
Neden OpenCTI?
Merkezi İstihbarat Deposu: OpenCTI, tüm siber tehdit istihbarat verileri için tek bir doğruluk kaynağı olarak kullanılabilir. Bu merkezi yaklaşım, verilerin tutarlı bir şekilde biçimlendirilmesini, kolayca erişilebilir olmasını ve farklı istihbarat parçaları arasında ilişkilendirilebilmesini sağlar.
Geliştirilmiş Olay Müdahalesi: OpenCTI, istihbaratı doğrudan olay not alma platformuna dahil ederek, müdahale ekiplerinin bir olay sırasında ilgili bilgilere hızla erişmesine olanak tanır. Geçmiş olaylar, mağdurlar veya Uzlaşma Göstergeleri (IOC'ler) dahil olmak üzere ilişkili verilere bu anında erişim, daha hızlı ve daha bilinçli karar vermeyi sağlar.
Kolaylaştırılmış İşbirliği: OpenCTI'ın işbirliğine dayalı çerçevesi, hem kurum içinde hem de harici ortaklarla bilgi paylaşımını teşvik eder. Bu kolektif çaba sadece istihbarat verilerini zenginleştirmekle kalmaz, aynı zamanda siber güvenlik savunmasında ortak sorumluluk kültürünü de teşvik eder.
Geliştirilmiş Tehdit Analizi ve Görselleştirme: Platformun gelişmiş analitik araçları ve görselleştirme yetenekleri, ekiplerin veriler içindeki kalıpları, eğilimleri ve bağlantıları tanımlamasına olanak tanır. Bu içgörüler, daha önce fark edilmemiş tehditlerin ve güvenlik açıklarının keşfedilmesini sağlayabilir.
Daha Kolay Korelasyon ve İlişkilendirme: OpenCTI ile siber tehditleri belirli aktörler, kampanyalar veya olaylarla ilişkilendirmek önemli ölçüde kolaylaşır. Bu yetenek, bir kuruluşun tehdit ortamını anlamasını geliştirerek daha hedefli ve etkili savunma stratejileri sağlar.
Kurulum
1. AWS üzerinde bir EC2 sunucusu kurun
AWS Yönetim Konsolu üzerinden bir EC2 örneği başlatarak başlayın. OpenCTI çalıştırmak için şunu seçmenizi öneririm:
Örnek Türü: Performans ve maliyet arasında iyi bir denge sağlamak için Ubuntu Server (ör. t2.xlarge).
Depolama Alanı: Uygulama ve verileri barındırmak için en az 100 GB depolama alanı ayırın.
Bu kurulum, OpenCTI örneğinizin verimli bir şekilde çalışması için yeterli kaynağa sahip olmasını sağlar. Bu kurulumda, yalnızca bir sunucu kullanacağız, ancak ihtiyacınız olursa, birden fazla küçük sunucunun kullanılmasına izin verecek bir sürü oluşturabilirsiniz.
2. Docker'ı yükleyin
Docker, OpenCTI gibi konteynerli uygulamaları çalıştırmak için gereklidir. Ubuntu EC2 örneğinize Docker'ı nasıl yükleyeceğiniz aşağıda açıklanmıştır:
1.Paket dizininizi güncelleyin ve gerekli paketleri yükleyin:
sudo apt-get update
sudo apt-get install apt-transport-https ca-certificates curl gnupg-agent software-properties-common
2. Docker'ın resmi GPG anahtarını ekleyin:
3. Anahtarı doğrulayın:curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo apt-key add -
4. Docker deposunu ekleyin:sudo apt-key fingerprint 0EBFCD88
5. Paket dizininizi güncelleyin ve Docker Engine ile Docker Compose'u yükleyin:sudo add-apt-repository "deb [arch=amd64] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable"
sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io docker-compose
6. Docker komutlarını 'sudo' olmadan çalıştırmak için kullanıcınızı Docker grubuna ekleyin
7. EC2 örneğinizi yeniden başlatınsudo usermod -aG docker $USER
3. Portainer'ı Kurun
Portainer, Docker konteyner yönetimini basitleştirir. Yüklemek için aşağıdaki adımları izleyin:
1.Portainer için bir dizin oluşturun ve içine gidin:
2. Portainer Agent stack dosyasını indirin:mkdir -p /opt/portainer && cd /opt/portainer
3. Dosyayı nano (veya tercih ettiğiniz editör) ile açın ve harici erişim için “ports” bölümünü değiştirin:curl -L https://downloads.portainer.io/portainer-agent-stack.yml -o portainer-agent-stack.yml
ports:
- "19000:9000"
- "18000:8000"
4. Docker kullanarak Portainer'ı dağıtın:
docker stack deploy --compose-file=portainer-agent-stack.yml portainer
4. Portainer üzerinde OpenCTI Yapılandırma
Portainer'a giriş yapın: http://<Your-EC2-Public-IP>:19000 adresine giderek Portainer'a erişin. Bir yönetici hesabı oluşturmak için kurulum sihirbazını kullanın.
Yeni Bir Yığın Oluşturun: Yığınınız için bir ad seçin ve OpenCTI'nın Docker Compose dosyasının içeriğini GitHub'dan yapıştırmak için web düzenleyicisini kullanın.
Yapılandırma Dosyaları: GitHub deposundan .env.sample dosyasını indirin, .env olarak yeniden adlandırın ve gerekli değişkenleri değiştirin:
OPENCTI_ADMIN_PASSWORD=changeme
OPENCTI_ADMIN_TOKEN=ChangeMe_UUIDv4 (Burada bir UUID oluşturun)
MINIO_ROOT_PASSWORD=changeme
RABBITMQ_DEFAULT_PASS=changeme
İşte bu kadar. OpenCTI örneğinize <http://<Your-EC2-Public-IP>:8080> adresinden .env dosyanızda ayarladığınız kullanıcı adı ve şifrenizi kullanarak erişebilmelisiniz.