参考链接:https://oasis-open.github.io/cti-documentation/
结构化威胁信息表达 (STIX™) 是一种用于 交换网络威胁情报 (CTI) 的语言和序列化格式。
STIX 信息可以直观地呈现给分析师或存储为 JSON 以便快速机器读取。STIX 的开放性允许集成到现有工具和产品中,或用于满足您的特定分析师或网络需求。
STIX 2.1 定义了 18 个 STIX 域对象 (SDO):
| 目的 | 姓名 | 描述 |
|---|---|---|
 |
攻击模式 | 一种 TTP,描述了对手试图破坏目标的方式。 |
 |
活动 | 一组对抗性行为,描述了在一段时间内针对一组特定目标发生的一组恶意活动或攻击(有时称为波)。 |
 |
行动方针 | 情报生产者向消费者提出的关于他们可能针对该情报采取的行动的建议。 |
 |
分组 | 显式断言所引用的 STIX 对象具有共享上下文,这与 STIX Bundle(显式不传递上下文)不同。 |
 |
身份 | 实际的个人、组织或团体(例如 ACME, Inc.)以及个人、组织、系统或团体的类别(例如金融部门)。 |
 |
指标 | 包含可用于检测可疑或恶意网络活动的模式。 |
 |
基础设施 | 代表一种 TTP 并描述旨在支持某些目的的任何系统、软件服务和任何相关的物理或虚拟资源(例如,作为攻击一部分的 C2 服务器、作为防御一部分的设备或服务器、由攻击等)。 |
 |
入侵集 | 一组具有共同属性的对抗性行为和资源的组合,被认为是由单个组织精心策划的。 |
 |
地点 | 表示地理位置。 |
 |
恶意软件 | 一种代表恶意代码的 TTP。 |
 |
恶意软件分析 | 对恶意软件实例或家族执行的特定静态或动态分析的元数据和结果。 |
 |
笔记 | 传达信息性文本以提供进一步的上下文和/或提供未包含在与注释相关的 STIX 对象、标记定义对象或语言内容对象中的附加分析。 |
 |
观测数据 | 使用 STIX 网络可观察对象 (SCO) 传达有关网络安全相关实体的信息,例如文件、系统和网络。 |
 |
观点 | 对不同实体生成的 STIX 对象中信息正确性的评估。 |
 |
报告 | 威胁情报集合专注于一个或多个主题,例如对威胁参与者、恶意软件或攻击技术的描述,包括上下文和相关详细信息。 |
 |
威胁演员 | 被认为怀有恶意的实际个人、团体或组织。 |
 |
工具 | 威胁参与者可以用来执行攻击的合法软件。 |
 |
漏洞 | 可以被黑客直接用来访问系统或网络的软件错误。 |
STIX 2 定义了两个 STIX 关系对象 (SRO):
| 目的 | 姓名 | 描述 |
|---|---|---|
 |
关系 | 用于将两个 SDO 或 SCO 链接在一起,以描述它们如何相互关联。 |
 |
瞄准 | 表示相信看到 CTI 中的某些东西(例如,指示器、恶意软件、工具、威胁参与者等)。 |
STIX 2 对象以 JSON 表示。以下是STIX 2.1 Campaign 对象的基于 JSON 的示例:
{
"type": "campaign",
"id": "campaign--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
"spec_version": "2.1",
"created": "2016-04-06T20:03:00.000Z",
"modified": "2016-04-06T20:03:23.000Z",
"name": "Green Group Attacks Against Finance",
"description": "Campaign by Green Group against targets in the financial services sector."
}
