0
点赞
收藏
分享

微信扫一扫

网络安全系列-二十一: STIX 2.1的简介及示例

zidea 2022-04-29 阅读 172

什么是STIX?

STIX(Structured Threat Information Expression)是一种用于交换网络威胁情报(cyber threat intelligence,CTI)的语言和序列化格式。

OASIS【Organization for the Advancement of Structured Information Standards 结构化信息标准促进组织 】的CTI TC【Cyber Threat Intelligence (CTI) Technical Committee(TC) 网络威胁情报信息技术委员会】维护

使用场景

主要用于以下场景:

  • 协同威胁分析、
  • 自动化威胁情报交换、
  • 自动化威胁检测和响应

核心概念

STIX是定义网络威胁情报分类的模式,该分类由以下对象表示:

STIX是由节点和边组成的连通图,节点是 SDO、SCO,边是SRO
在这里插入图片描述

  • SDO 领域对象,表示威胁分析人员在了解威胁情况时通常会创建或使用的行为和构造【behaviors and constructs】,在STIX 2.1中共定义了19类SDO。
  • SCO 可观测对象,威胁情报中具体的可观察对象,用于刻画基于主机或基于网络的信息。
  • SRO: 用于表示SDO之间、SCO之间、SDO和SCO之间的关系
  • SMO: 提供必要的粘合和关联元数据来丰富或扩展STIX核心对象,以支持用户和系统工作流。
  • STIX Bundle Object: 提供了一个包装器机制,用于将任意STIX内容打包在一起

SDO领域对象

SDO中文含义描述
1Attack Pattern攻击模式TTP(攻击方法)的一种,用于描述威胁主体尝试攻击目标的方法
2Campaign攻击活动一组敌对的行为,描述一系列针对特定目标的恶意行为或一段时间内发动的攻击
3Course of Action应对措施一个stub对象,用于阻止或响应攻击的措施
4Grouping过程中数据分析和调查过程中产生的数据(待确认的线索数据)
用来声明其引用的STIX对象与正在进行的分析过程有关
5Identity身份个人、组织或团体,以及个人、组织或团体的类别
6Incident事件一个stub对象
7Indicator威胁指标用来检测可疑或恶意网络行为的模式
8Infrastructure基础设施描述任何系统、软件服务和任何相关的物理或虚拟资源
9Intrusion Set入侵集合某个组织所使用的恶意行为和资源的集合,
一个Intrusion Set可能会捕获多个Campaigns,
他们共同指向一个Threat Actor
一个拥有共同属性的敌对行为和资源的分组集合,被认为是由单个威胁主体策划的
10Location地理位置
11Malware恶意软件恶意软件或代码
12Malware Analysis恶意软件分析捕获恶意软件元数据、在恶意软件实例或
家族上执行的特定静态或动态分析的结果
13Note注释
14Observed Data可观察数据与网络安全相关的可观察对象(raw information)集合,
其引用对象为SCO,
表达在系统或网络上观察到的信息(例如,IP地址)
15Opinion评估对由不同实体产生的STIX对象中的信息正确性的评估。
16Report报告威胁情报报告 ,专注在一个或多个主题的威胁情报集合,
例如,威胁主体、恶意软件或攻击技术的描述,包括上下文内容详细信息
17Threat Actor威胁主体是被认为具有恶意操作意图的实际个人、团体或组织
18Tool工具工具是合法的软件,可以被威胁行为者用来执行攻击
如Namp、VNC
19Vulnerability漏洞软硬件中的弱点或缺陷,可以被黑客直接利用来访问系统或网络

SDO Relationships

  • SDO的图标如下, SDO对象之间的关系,详见:Visualized SDO Relationships
    在这里插入图片描述
  • 其它图标
    • 关系,用于连接两个SDO(STIX字段对象),来描述他们之间是如何与对方进行关联。
    • 瞄准,表示网络威胁情报元素(如攻击指标、恶意软件)被看到的情况。
      在这里插入图片描述
      在这里插入图片描述

STIX 2.1 Examples

详见STIX 2.1 Examples

Indicator for Malicious URL

下图显示了威胁指标恶意软件SDO以及它们之间的关系SRO
在这里插入图片描述

Threat Actor Leveraging Attack Patterns and Malware

在这里插入图片描述

Defining Campaigns vs. Threat Actors vs. Intrusion Sets

在这里插入图片描述

Sighting of an Indicator

在这里插入图片描述

参考

Introduction to STIX
STIX 2.0 Examples
Identifying a Threat Actor Profile
Defining Campaigns vs. Threat Actors vs. Intrusion Sets
Indicator for Malicious URL
Malware Indicator for File Hash
Sighting of an Indicator
Sighting of Observed-data
Threat Actor Leveraging Attack Patterns and Malware
Using Marking Definitions
Using Granular Markings
Visualized SDO Relationships

举报

相关推荐

0 条评论