开源安全知识图谱运营平台正式上线

一、介绍

       MITRE ATT&CK是一个全球可访问的基于现实世界观察的对手战术和技术知识库，目前ATT&CK (v12)最新版本，2022年10月ATT&CK v12.版本更新了适用于企业、移动和 ICS 的技术、组和软件。ATT&CK v12中最大的变化是在用于ICS的ATT&CK中添加检测，并引入了活动。ATT&CK for Enterprise ， 包含14种战术、191种技术、386种子技术、134个组织和680种软件，ATT&CK for Mobile测试版，此版本的 ATT&CK 企业版包含 14 种战术、193 种技术、401 种子技术、135 个组、14 个战役和 718 个软件。ATT&CK框架涵盖情报、渗透攻击、防御缓解等方法，使得安全运营不再局限于安全合规，而是面向实战化、体系化对抗。

      ATT&CK知识图谱是一个通用的网络安全基础运营平台，命名为“白泽”，计划满足日常网络安全综合分析、ATP监测、攻击溯源等场景需求，同时解决在大规模复杂环境场景下遇到的稳定性和性能问题，打造国内首个大型安全知识图谱。

      项目采用了Noe4J和Python Django结合架构，在知识抽取、数据聚合、标识建立、关系搭建、自然语言处理、模型预训练等技术，降低在分析过程的漏报与误报情况。目前集成了Red Team、kafka、netflow、log。

剧透部分页面：

二、应用场景

      面向大中小企业，大企业可作为网络安全数据安全治理、攻击行为推理检验、攻击狩猎验证、EDR深度分析辅助产品，中小企业可以作为运营平台或APT监测产品，逐步支持网络安全监测、分析、预警、溯源、部分XDR（EDR使用开源wazuh集成）等能力。

三、特点

1.支持各类安全设备日志接入；

2. 支持安全设备、网络设备、终端、流量的数据聚合；

3. 各模块实现解耦，支持便捷增加计算引擎以及存储方式；

4. 支持数据与流量一致性校验，包括数据是否缺失，数据是否匹配；

5. 支持EDR和云数据深度分析；

6. 支持att&ck命中；

7.  支持定制化开发。

四、项目规划

1.优化整体容错性

2. 优化数据读写性能

3. 支持更多智能算法和模型

4. 支持更多计算引擎

5.优化流量行为深度分析

6．完善安全知识图谱语义训练库

7.优化Red Team狩猎

五、开源时间

2022年10月30日  

六、开源地址

https://github.com/AJH-SEC/WhitePondSecurityKG.git

https://gitee.com/ece/WhitePondSecurityKG.git

七、开源交流群