什么是STIX?
STIX(Structured Threat Information Expression)是一种用于交换网络威胁情报(cyber threat intelligence,CTI)的语言和序列化格式。
由 OASIS【Organization for the Advancement of Structured Information Standards 结构化信息标准促进组织 】的CTI TC【Cyber Threat Intelligence (CTI) Technical Committee(TC) 网络威胁情报信息技术委员会】维护
使用场景
主要用于以下场景:
- 协同威胁分析、
- 自动化威胁情报交换、
- 自动化威胁检测和响应
核心概念
STIX是定义网络威胁情报分类的模式,该分类由以下对象表示:
STIX是由节点和边组成的连通图,节点是 SDO、SCO,边是SRO
- SDO 领域对象,表示威胁分析人员在了解威胁情况时通常会创建或使用的行为和构造【behaviors and constructs】,在STIX 2.1中共定义了19类SDO。
- SCO 可观测对象,威胁情报中具体的可观察对象,用于刻画基于主机或基于网络的信息。
- SRO: 用于表示SDO之间、SCO之间、SDO和SCO之间的关系
- SMO: 提供必要的粘合和关联元数据来丰富或扩展STIX核心对象,以支持用户和系统工作流。
- STIX Bundle Object: 提供了一个包装器机制,用于将任意STIX内容打包在一起
SDO领域对象
SDO | 中文含义 | 描述 | |
---|---|---|---|
1 | Attack Pattern | 攻击模式 | TTP(攻击方法)的一种,用于描述威胁主体尝试攻击目标的方法 |
2 | Campaign | 攻击活动 | 一组敌对的行为,描述一系列针对特定目标的恶意行为或一段时间内发动的攻击 |
3 | Course of Action | 应对措施 | 一个stub对象,用于阻止或响应攻击的措施 |
4 | Grouping | 过程中数据 | 分析和调查过程中产生的数据(待确认的线索数据) 用来声明其引用的STIX对象与正在进行的分析过程有关 |
5 | Identity | 身份 | 个人、组织或团体,以及个人、组织或团体的类别 |
6 | Incident | 事件 | 一个stub对象 |
7 | Indicator | 威胁指标 | 用来检测可疑或恶意网络行为的模式 |
8 | Infrastructure | 基础设施 | 描述任何系统、软件服务和任何相关的物理或虚拟资源 |
9 | Intrusion Set | 入侵集合 | 由某个组织所使用的恶意行为和资源的集合, 一个Intrusion Set可能会捕获多个Campaigns, 他们共同指向一个Threat Actor 一个拥有共同属性的敌对行为和资源的分组集合,被认为是由单个威胁主体策划的 |
10 | Location | 地理位置 | |
11 | Malware | 恶意软件 | 恶意软件或代码 |
12 | Malware Analysis | 恶意软件分析 | 捕获恶意软件元数据、在恶意软件实例或 家族上执行的特定静态或动态分析的结果 |
13 | Note | 注释 | |
14 | Observed Data | 可观察数据 | 与网络安全相关的可观察对象(raw information)集合, 其引用对象为SCO, 表达在系统或网络上观察到的信息(例如,IP地址) |
15 | Opinion | 评估 | 对由不同实体产生的STIX对象中的信息正确性的评估。 |
16 | Report | 报告 | 威胁情报报告 ,专注在一个或多个主题的威胁情报集合, 例如,威胁主体、恶意软件或攻击技术的描述,包括上下文内容详细信息 |
17 | Threat Actor | 威胁主体 | 是被认为具有恶意操作意图的实际个人、团体或组织 |
18 | Tool | 工具 | 工具是合法的软件,可以被威胁行为者用来执行攻击 如Namp、VNC |
19 | Vulnerability | 漏洞 | 软硬件中的弱点或缺陷,可以被黑客直接利用来访问系统或网络 |
SDO Relationships
- SDO的图标如下, SDO对象之间的关系,详见:Visualized SDO Relationships
- 其它图标
- 关系,用于连接两个SDO(STIX字段对象),来描述他们之间是如何与对方进行关联。
- 瞄准,表示网络威胁情报元素(如攻击指标、恶意软件)被看到的情况。
STIX 2.1 Examples
详见STIX 2.1 Examples
Indicator for Malicious URL
下图显示了威胁指标
和恶意软件
SDO以及它们之间的关系SRO
Threat Actor Leveraging Attack Patterns and Malware
Defining Campaigns vs. Threat Actors vs. Intrusion Sets
Sighting of an Indicator
参考
Introduction to STIX
STIX 2.0 Examples
Identifying a Threat Actor Profile
Defining Campaigns vs. Threat Actors vs. Intrusion Sets
Indicator for Malicious URL
Malware Indicator for File Hash
Sighting of an Indicator
Sighting of Observed-data
Threat Actor Leveraging Attack Patterns and Malware
Using Marking Definitions
Using Granular Markings
Visualized SDO Relationships