Publication de la version Alpha de SATRAP-DL

itrust Abstractions Lab a publié la version Alpha de SATRAP-DL sur GitHub.

Qu'est-ce que SATRAP ?

Développé dans le cadre du sous-projet SATRAP-DL de CyFORT, SATRAP (Semi-Automated Threat Reconnaissance and Analysis Platform) est un logiciel libre et multiplateforme pour l’analyse assistée par ordinateur du renseignement sur les cybermenaces (CTI) par le biais d’un raisonnement automatisé.

Caractéristiques principales

• Système de représentation des connaissances pour le renseignement sur les cybermenaces mis en œuvre au-dessus de TypeDB.
• Raisonnement automatisé : Application de règles de déduction prédéfinies pour dériver de nouvelles connaissances à partir de données CTI existantes.
• Modèle de données STIX 2.1 : Tirer parti d’une norme largement adoptée pour représenter et traiter les informations CTI.
• Mécanisme ETL : ingérer des données conformes à STIX 2.1 à partir de sources CTI dans la base de connaissances.
• Fonctions analytiques prédéfinies : Exécution de tâches d’analyse automatisée des CTI, telles que la déduction des techniques utilisées par les acteurs de la menace.
• Extensibilité : Ajoutez des règles d’inférence et des requêtes personnalisées pour adapter SATRAP à vos besoins spécifiques.

Comment SATRAP automatise-t-il les tâches analytiques ?

SATRAP s’appuie sur un système de représentation des connaissances (KRS) pour introduire la sémantique dans le stockage, le traitement et l’analyse des renseignements sur les cybermenaces. Cette approche permet à SATRAP d’automatiser les tâches analytiques sur de grands volumes d’informations sur les menaces et de CTI par le biais de la dérivation logique des connaissances.

Le KRS se compose des éléments suivants :

• Une base de connaissances sur les renseignements relatifs aux cybermenaces (CTI SKB). Cette base de connaissances contient des concepts et des faits dans le domaine des technologies de l’information et de la communication, tels que des scénarios de menace ou des techniques d’attaque.
• Un moteur d’inférence, qui tire des conclusions logiques à partir des informations contenues dans la base de connaissances en suivant des règles de déduction.

Le KRS de SATRAP est mise en œuvre à l’aide de TypeDB, une base de données polymorphe dotée d’un moteur de raisonnement symbolique natif. L’utilisation de TypeDB permet à SATRAP de mettre en œuvre des fonctions analytiques dans le domaine de la CTI au-dessus d’un noyau intégré, où la base de connaissances et le moteur de raisonnement sont couplés de manière native, ce qui permet généralement une exécution efficace des tâches d’inférence.

Les fonctions analytiques de SATRAP exécutent des requêtes liées à la CTI sur le KRS et obtiennent des réponses explicables, montrant les étapes qui ont conduit à la réponse. Contrairement aux bases de données classiques, ces réponses peuvent inclure non seulement des informations réelles dans la base de connaissances CTI, mais aussi des relations déduites de ces informations.

Comment utiliser SATRAP ?

La version Alpha de SATRAP présente deux interfaces utilisateur natives et une intégration avec d’autres outils open-source pour mener des enquêtes CTI structurées.

SATRAP Python CTI Analysis Toolbox : Une bibliothèque Python fournissant un ensemble de fonctions qui effectuent un raisonnement automatisé rationalisant des questions d’analyse CTI spécifiques. Par exemple, la boîte à outils expose une fonction permettant de trouver l’ensemble des plans d’action qui atténuent l’une des techniques utilisées par un groupe donné. La fonction retrouve des atténuations explicites et des atténuations dérivées logiquement, ainsi qu’une trace des étapes déductives qui conduisent à l’ajout d’une ligne de conduite à l’ensemble de réponses.

Interface de ligne de commande SATRAP : L’interface de ligne de commande SATRAP permet de mettre en place une base de connaissances CTI avec des ensembles de données au format STIX 2.1.

Carnets Jupyter : Explorez, analysez, documentez et visualisez les renseignements sur les cybermenaces à l’aide des carnets Jupyter, en important la boîte à outils Python de SATRAP dans un environnement flexible et interactif pour créer des playbooks et mener des enquêtes étape par étape.

Pour en savoir plus sur l’utilisation de SATRAP, consultez le manuel d’utilisation et les exemples disponibles dans le dépôt GitHub.

Démarrer

Nous vous invitons à essayer le logiciel et à explorer les détails dans le dépôt GitHub. Les spécifications techniques et la documentation du projet SATRAP-DL, y compris les exigences, les diagrammes architecturaux et logiciels, les spécifications des cas de test et les rapports de test, sont accessibles via notre page web sur la traçabilité.

Les spécifications techniques comprennent la conception architecturale, la conception logicielle, les spécifications des cas de test de validation, les résultats de la campagne de test de validation, les spécifications des exigences de la mission et les spécifications des exigences du système/logiciel.

Nous serons heureux de recevoir vos commentaires à l’adresse info@abstractionslab.lu.