STIX
Was ist STIX?
STIXSTIX ist ein OASIS-Standard, der eine strukturierte, maschinenlesbare Sprache zum Darstellen und Austauschen von Cyber Threat Intelligence zwischen Organisationen und Tools definiert.
Structured Threat Information eXpression (STIX) ist eine offene OASIS-Spezifikation – aktuell STIX 2.1 – die Threat Intelligence als JSON-Objekte mit definierten Typen wie Indicators, Malware, Threat Actors, Campaigns, Intrusion Sets und Relationships modelliert. Durch ein stabiles Schema fur jedes Konzept koennen Analysten Kontext (TTPs, Kill-Chain-Phasen, Sightings) statt isolierter IoCs teilen, und Tools wie SIEM, TIP und SOAR lesen dieselben Daten ohne eigene Parser ein. STIX wird ueblicherweise mit dem Begleitprotokoll TAXII transportiert und ist bei ISACs, staatlichen CERTs und kommerziellen Intelligence-Anbietern weit verbreitet.
● Beispiele
- 01
Austausch einer Malware-Familie mit verknuepften Indicator-, Attack-Pattern- und Threat-Actor-Objekten ueber ein ISAC.
- 02
Export von CTI aus einer TIP als STIX-2.1-Bundles, die ein SIEM einliest.
● Häufige Fragen
Was ist STIX?
STIX ist ein OASIS-Standard, der eine strukturierte, maschinenlesbare Sprache zum Darstellen und Austauschen von Cyber Threat Intelligence zwischen Organisationen und Tools definiert. Es gehört zur Kategorie Verteidigung und Betrieb der Cybersicherheit.
Was bedeutet STIX?
STIX ist ein OASIS-Standard, der eine strukturierte, maschinenlesbare Sprache zum Darstellen und Austauschen von Cyber Threat Intelligence zwischen Organisationen und Tools definiert.
Wie funktioniert STIX?
Structured Threat Information eXpression (STIX) ist eine offene OASIS-Spezifikation – aktuell STIX 2.1 – die Threat Intelligence als JSON-Objekte mit definierten Typen wie Indicators, Malware, Threat Actors, Campaigns, Intrusion Sets und Relationships modelliert. Durch ein stabiles Schema fur jedes Konzept koennen Analysten Kontext (TTPs, Kill-Chain-Phasen, Sightings) statt isolierter IoCs teilen, und Tools wie SIEM, TIP und SOAR lesen dieselben Daten ohne eigene Parser ein. STIX wird ueblicherweise mit dem Begleitprotokoll TAXII transportiert und ist bei ISACs, staatlichen CERTs und kommerziellen Intelligence-Anbietern weit verbreitet.
Wie schützt man sich gegen STIX?
Schutzmaßnahmen gegen STIX kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für STIX?
Übliche alternative Bezeichnungen: Structured Threat Information eXpression, STIX 2.1.
● Verwandte Begriffe
- defense-ops№ 1133
TAXII Protocol
TAXII ist ein OASIS-Anwendungsprotokoll uber HTTPS zum Veroffentlichen, Entdecken und Konsumieren von Cyber Threat Intelligence – typischerweise STIX-Inhalten – zwischen Organisationen.
- defense-ops№ 684
MISP
MISP ist eine Open-Source-Threat-Intelligence-Plattform zum Sammeln, Speichern, Korrelieren und Teilen strukturierter Indikatoren und Analystenkontext innerhalb vertrauenswuerdiger Communities.
- defense-ops№ 1158
TLP
TLP ist ein einfaches Kennzeichnungsschema von FIRST, das angibt, wie sensibel geteilte Cyberinformationen sind und wer sie weitergeben darf.
- defense-ops№ 771
OTX
OTX ist eine offene, community-getriebene Threat-Intelligence-Plattform – urspruenglich AlienVault, heute LevelBlue OTX – auf der Forschende Indikatoren in Form von Pulses veroeffentlichen.
- defense-ops№ 527
Indicator of Compromise (IoC)
Ein beobachtbares Artefakt – etwa ein Datei-Hash, IP, Domain, URL oder Registry-Schlüssel – das auf eine erfolgte oder laufende Kompromittierung hinweist.
- defense-ops№ 1148
Threat Intelligence
Evidenzbasiertes Wissen über Bedrohungen und Akteure — inklusive Indikatoren, TTPs und Kontext — zur Steuerung von Sicherheitsentscheidungen und Detection.