STIX
¿Qué es STIX?
STIXSTIX es un estándar OASIS que define un lenguaje estructurado y legible por máquinas para representar e intercambiar inteligencia de amenazas entre organizaciones y herramientas.
Structured Threat Information eXpression (STIX) es una especificación abierta de OASIS —actualmente STIX 2.1— que modela la inteligencia de amenazas como objetos JSON con tipos definidos: indicadores, malware, actores, campañas, conjuntos de intrusión y relaciones. Al dar un esquema estable a cada concepto, STIX permite compartir contexto (TTP, fases de la kill chain, avistamientos) y no solo IoC sueltos, y que SIEM, TIP y SOAR ingieran los mismos datos sin parsers personalizados. STIX se transporta habitualmente con el protocolo TAXII y es utilizado por ISAC, CERT gubernamentales y proveedores comerciales de inteligencia.
● Ejemplos
- 01
Compartir una familia de malware con indicadores, attack-pattern y threat-actor enlazados a través de un ISAC.
- 02
Exportar CTI desde una TIP como paquetes STIX 2.1 consumidos por un SIEM.
● Preguntas frecuentes
¿Qué es STIX?
STIX es un estándar OASIS que define un lenguaje estructurado y legible por máquinas para representar e intercambiar inteligencia de amenazas entre organizaciones y herramientas. Pertenece a la categoría de Defensa y operaciones en ciberseguridad.
¿Qué significa STIX?
STIX es un estándar OASIS que define un lenguaje estructurado y legible por máquinas para representar e intercambiar inteligencia de amenazas entre organizaciones y herramientas.
¿Cómo funciona STIX?
Structured Threat Information eXpression (STIX) es una especificación abierta de OASIS —actualmente STIX 2.1— que modela la inteligencia de amenazas como objetos JSON con tipos definidos: indicadores, malware, actores, campañas, conjuntos de intrusión y relaciones. Al dar un esquema estable a cada concepto, STIX permite compartir contexto (TTP, fases de la kill chain, avistamientos) y no solo IoC sueltos, y que SIEM, TIP y SOAR ingieran los mismos datos sin parsers personalizados. STIX se transporta habitualmente con el protocolo TAXII y es utilizado por ISAC, CERT gubernamentales y proveedores comerciales de inteligencia.
¿Cómo defenderse de STIX?
Las defensas contra STIX combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para STIX?
Nombres alternativos comunes: Expresión Estructurada de Información de Amenazas, STIX 2.1.
● Términos relacionados
- defense-ops№ 1133
TAXII Protocol
TAXII es un protocolo de capa de aplicacion de OASIS sobre HTTPS para publicar, descubrir y consumir inteligencia de amenazas —normalmente contenido STIX— entre organizaciones.
- defense-ops№ 684
MISP
MISP es una plataforma de inteligencia de amenazas de codigo abierto para recopilar, almacenar, correlacionar y compartir indicadores estructurados y contexto analitico entre comunidades de confianza.
- defense-ops№ 1158
TLP
TLP es un esquema simple de etiquetado mantenido por FIRST que indica el grado de sensibilidad de la informacion compartida y a quien puede redistribuirse.
- defense-ops№ 771
OTX
OTX es un intercambio abierto y comunitario de inteligencia de amenazas —originalmente AlienVault, ahora LevelBlue OTX— donde los investigadores publican indicadores agrupados en Pulses.
- defense-ops№ 527
Indicador de Compromiso (IoC)
Artefacto observable —como un hash, IP, dominio, URL o clave de registro— que sugiere que un sistema ha sido o está siendo comprometido.
- defense-ops№ 1148
Inteligencia de Amenazas
Conocimiento basado en evidencias sobre amenazas y actores —indicadores, TTPs y contexto— utilizado para orientar decisiones de seguridad y detección.