• 我们在哪一颗星上见过 ,以至如此相互思念 ;我们在哪一颗星上相互思念过,以至如此相互深爱
  • 我们在哪一颗星上分别 ,以至如此相互辉映 ;我们在哪一颗星上入睡 ,以至如此唤醒黎明
  • 认识世界 克服困难 洞悉所有 贴近生活 寻找珍爱 感受彼此

结构化威胁信息表达 (STIX™)

APT学习与研究 云涯 1年前 (2022-03-23) 386次浏览
参考链接:https://oasis-open.github.io/cti-documentation/
结构化威胁信息表达 (STIX™) 是一种用于 交换网络威胁情报 (CTI)  的语言和序列化格式。
STIX 信息可以直观地呈现给分析师或存储为 JSON 以便快速机器读取。STIX 的开放性允许集成到现有工具和产品中,或用于满足您的特定分析师或网络需求。

STIX 2.1 定义了 18 个 STIX 域对象 (SDO):

目的 姓名 描述
攻击模式图标 攻击模式 一种 TTP,描述了对手试图破坏目标的方式。
运动图标 活动 一组对抗性行为,描述了在一段时间内针对一组特定目标发生的一组恶意活动或攻击(有时称为波)。
行动路线图标 行动方针 情报生产者向消费者提出的关于他们可能针对该情报采取的行动的建议。
分组图标 分组 显式断言所引用的 STIX 对象具有共享上下文,这与 STIX Bundle(显式不传递上下文)不同。
身份图标 身份 实际的个人、组织或团体(例如 ACME, Inc.)以及个人、组织、系统或团体的类别(例如金融部门)。
指示器图标 指标 包含可用于检测可疑或恶意网络活动的模式。
基础设施 基础设施 代表一种 TTP 并描述旨在支持某些目的的任何系统、软件服务和任何相关的物理或虚拟资源(例如,作为攻击一部分的 C2 服务器、作为防御一部分的设备或服务器、由攻击等)。
入侵集图标 入侵集 一组具有共同属性的对抗性行为和资源的组合,被认为是由单个组织精心策划的。
位置图标 地点 表示地理位置。
恶意软件图标 恶意软件 一种代表恶意代码的 TTP。
恶意软件分析图标 恶意软件分析 对恶意软件实例或家族执行的特定静态或动态分析的元数据和结果。
注意图标 笔记 传达信息性文本以提供进一步的上下文和/或提供未包含在与注释相关的 STIX 对象、标记定义对象或语言内容对象中的附加分析。
观察到的数据图标 观测数据 使用 STIX 网络可观察对象 (SCO) 传达有关网络安全相关实体的信息,例如文件、系统和网络。
意见图标 观点 对不同实体生成的 STIX 对象中信息正确性的评估。
报告图标 报告 威胁情报集合专注于一个或多个主题,例如对威胁参与者、恶意软件或攻击技术的描述,包括上下文和相关详细信息。
威胁演员图标 威胁演员 被认为怀有恶意的实际个人、团体或组织。
工具图标 工具 威胁参与者可以用来执行攻击的合法软件。
漏洞图标 漏洞 可以被黑客直接用来访问系统或网络的软件错误。

STIX 2 定义了两个 STIX 关系对象 (SRO):

目的 姓名 描述
关系图标 关系 用于将两个 SDO 或 SCO 链接在一起,以描述它们如何相互关联。
瞄准图标 瞄准 表示相信看到 CTI 中的某些东西(例如,指示器、恶意软件、工具、威胁参与者等)。
STIX 2 对象以 JSON 表示。以下是STIX 2.1 Campaign 对象的基于 JSON 的示例:
{
    "type": "campaign",
    "id": "campaign--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
    "spec_version": "2.1",
    "created": "2016-04-06T20:03:00.000Z",
    "modified": "2016-04-06T20:03:23.000Z",
    "name": "Green Group Attacks Against Finance",
    "description": "Campaign by Green Group against targets in the financial services sector."
}

云涯历险记 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:结构化威胁信息表达 (STIX™)
喜欢 (0)