STIX
Qu'est-ce que STIX ?
STIXSTIX est un standard OASIS qui definit un langage structure et lisible par machine pour representer et echanger la cyber threat intelligence entre organisations et outils.
Structured Threat Information eXpression (STIX) est une specification ouverte d'OASIS — actuellement STIX 2.1 — qui modelise le renseignement sur les menaces sous forme d'objets JSON typés : indicateurs, malware, acteurs de la menace, campagnes, intrusion sets et relations. En donnant un schema stable a chaque concept, STIX permet de partager du contexte (TTP, phases de la kill chain, sightings) et pas seulement des IoC isoles, et permet aux SIEM, TIP et SOAR d'ingerer ces donnees sans parsers maison. STIX est generalement transporte via le protocole compagnon TAXII et est largement utilise par les ISAC, les CERT gouvernementaux et les fournisseurs commerciaux.
● Exemples
- 01
Partage d'une famille de malware avec indicateurs, attack-pattern et threat-actor lies via un ISAC.
- 02
Export de CTI depuis une TIP sous forme de bundles STIX 2.1 consommes par un SIEM.
● Questions fréquentes
Qu'est-ce que STIX ?
STIX est un standard OASIS qui definit un langage structure et lisible par machine pour representer et echanger la cyber threat intelligence entre organisations et outils. Cette notion relève de la catégorie Défense et opérations en cybersécurité.
Que signifie STIX ?
STIX est un standard OASIS qui definit un langage structure et lisible par machine pour representer et echanger la cyber threat intelligence entre organisations et outils.
Comment fonctionne STIX ?
Structured Threat Information eXpression (STIX) est une specification ouverte d'OASIS — actuellement STIX 2.1 — qui modelise le renseignement sur les menaces sous forme d'objets JSON typés : indicateurs, malware, acteurs de la menace, campagnes, intrusion sets et relations. En donnant un schema stable a chaque concept, STIX permet de partager du contexte (TTP, phases de la kill chain, sightings) et pas seulement des IoC isoles, et permet aux SIEM, TIP et SOAR d'ingerer ces donnees sans parsers maison. STIX est generalement transporte via le protocole compagnon TAXII et est largement utilise par les ISAC, les CERT gouvernementaux et les fournisseurs commerciaux.
Comment se défendre contre STIX ?
Les défenses contre STIX combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de STIX ?
Noms alternatifs courants : Structured Threat Information eXpression, STIX 2.1.
● Termes liés
- defense-ops№ 1133
TAXII Protocol
TAXII est un protocole applicatif OASIS au-dessus de HTTPS pour publier, decouvrir et consommer de la threat intelligence — generalement du contenu STIX — entre organisations.
- defense-ops№ 684
MISP
MISP est une plateforme open source de threat intelligence pour collecter, stocker, correler et partager des indicateurs structures et du contexte analytique entre communautes de confiance.
- defense-ops№ 1158
TLP
TLP est un schema d'etiquetage simple maintenu par FIRST qui signale le niveau de sensibilite d'une information partagee et avec qui elle peut etre redistribuee.
- defense-ops№ 771
OTX
OTX est une plateforme ouverte et communautaire d'echange de threat intelligence — initialement AlienVault, desormais LevelBlue OTX — ou les chercheurs publient des indicateurs sous forme de Pulses.
- defense-ops№ 527
Indicateur de Compromission (IoC)
Artefact observable — hash, IP, domaine, URL, clé de registre — qui suggère qu'un système est ou a été compromis.
- defense-ops№ 1148
Renseignement sur les menaces
Connaissance fondée sur des preuves concernant les menaces et leurs auteurs — indicateurs, TTP et contexte — utilisée pour orienter les décisions de sécurité et la détection.