OpenCTI平台中"in regards of"过滤器对可观测对象失效问题分析

问题背景

在OpenCTI平台的数据实体过滤功能中，用户发现"in regards of"（关于）过滤器在某些情况下无法正常工作。具体表现为：当用户创建了一个威胁行为者(threat actor)与可观测对象(observable)之间的关系后，在数据实体页面使用"in regards of"过滤器筛选该可观测对象时，相关的威胁行为者无法被正确显示。

技术分析

问题本质

经过深入分析，这个问题源于平台对可观测对象相关关系的去规范化(denormalized)信息处理机制。在OpenCTI的数据模型中，某些特定类型的实体关系没有被完整地索引或存储，导致过滤器无法检索到这些关系。

受影响的关系类型

主要影响以下三类关系组合：

1. related_to类型关系：当关系类型为"related_to"且来源(from)是可观测对象(stixCyberObservable)时

2. located_at类型关系：当关系类型为"located_at"且：

   • 目标(to)是地区(region)或国家(country)
   • 来源(from)是IPv4、IPv6或城市(city)

3. targets类型关系：当关系类型为"targets"且：

   • 目标(to)是地区(region)、国家(country)或行业领域(sector)

核心限制

值得注意的是，这些关系只有在用户查找关系中"来源(source)"端的实体时才会出现检索失败的情况。如果查找的是"目标(target)"端的实体，过滤器仍能正常工作。

解决方案

考虑到OpenCTI平台的关系模型复杂性，简单地排除某些实体类型或关系类型并不是一个理想的解决方案，因为：

1. 某些关系组合可能在某些情况下工作，而在其他情况下不工作
2. 完全排除会影响其他正常功能的用户体验

因此，开发团队决定采用以下改进方案：

1. 添加警告提示：在"in regards of"过滤器旁边添加工具提示(tooltip)，明确告知用户哪些类型的关系可能无法被检索到

2. 优化用户体验：提示信息将采用与平台中其他模板类似的风格，保持界面一致性

技术影响与建议

对于OpenCTI平台用户，建议在使用"in regards of"过滤器时注意以下几点：

1. 当过滤涉及可观测对象的关系时，可能需要考虑使用其他过滤条件组合

2. 对于关键的可观测对象关系，可以通过创建自定义视图或报告来规避过滤器的限制

3. 关注平台更新日志，了解该功能可能的后续改进

对于开发人员，这一案例也提醒我们在设计复杂数据模型的检索功能时，需要：

1. 充分考虑各种实体和关系类型的组合情况

2. 提供清晰的用户反馈机制，当某些查询可能不完整时及时告知用户

3. 在性能和数据一致性之间找到平衡点

总结

OpenCTI平台作为威胁情报管理工具，其数据模型和过滤功能的复杂性是不可避免的。通过这次对"in regards of"过滤器问题的分析和解决，平台在保持功能完整性的同时，也提升了用户体验的透明度。这种平衡处理方式值得其他类似复杂系统的开发者借鉴。