STIX
STIX とは何ですか?
STIXSTIX は OASIS が策定したオープン標準で、サイバー脅威インテリジェンスを構造化された機械可読な形式で表現・交換するための言語です。
Structured Threat Information eXpression(STIX)は OASIS のオープン仕様であり、現在のバージョンは STIX 2.1 です。脅威インテリジェンスを JSON オブジェクトとしてモデル化し、Indicator、Malware、Threat Actor、Campaign、Intrusion Set、Relationship など型を定義します。各概念に安定したスキーマを与えることで、単独の IoC ではなく TTP・キルチェーン段階・サイティングといった文脈を共有でき、SIEM・TIP・SOAR などのツールが独自パーサなしに同じデータを取り込めます。STIX は通常、関連プロトコルである TAXII で配送され、ISAC、政府 CERT、商用インテリジェンス事業者で広く利用されています。
● 例
- 01
ISAC を通じて、Indicator・attack-pattern・threat-actor オブジェクトを関連付けたマルウェアファミリーを共有する。
- 02
TIP から STIX 2.1 バンドルとして CTI をエクスポートし SIEM に取り込む。
● よくある質問
STIX とは何ですか?
STIX は OASIS が策定したオープン標準で、サイバー脅威インテリジェンスを構造化された機械可読な形式で表現・交換するための言語です。 サイバーセキュリティの 防御と運用 カテゴリに属します。
STIX とはどういう意味ですか?
STIX は OASIS が策定したオープン標準で、サイバー脅威インテリジェンスを構造化された機械可読な形式で表現・交換するための言語です。
STIX はどのように機能しますか?
Structured Threat Information eXpression(STIX)は OASIS のオープン仕様であり、現在のバージョンは STIX 2.1 です。脅威インテリジェンスを JSON オブジェクトとしてモデル化し、Indicator、Malware、Threat Actor、Campaign、Intrusion Set、Relationship など型を定義します。各概念に安定したスキーマを与えることで、単独の IoC ではなく TTP・キルチェーン段階・サイティングといった文脈を共有でき、SIEM・TIP・SOAR などのツールが独自パーサなしに同じデータを取り込めます。STIX は通常、関連プロトコルである TAXII で配送され、ISAC、政府 CERT、商用インテリジェンス事業者で広く利用されています。
STIX からどのように防御しますか?
STIX に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
STIX の別名は何ですか?
一般的な別名: 構造化脅威情報表現, STIX 2.1。
● 関連用語
- defense-ops№ 1133
TAXII Protocol
TAXII は HTTPS 上で動作する OASIS のアプリケーション層プロトコルで、組織間でサイバー脅威インテリジェンス(主に STIX)を公開・発見・取得するために使われます。
- defense-ops№ 684
MISP
MISP は、信頼できるコミュニティ間で構造化された指標とアナリストの文脈を収集・保管・相関分析・共有するためのオープンソース脅威インテリジェンスプラットフォームです。
- defense-ops№ 1158
TLP
TLP は FIRST が維持するシンプルなラベリング方式で、共有するサイバー情報の機微度と再配布できる範囲を示します。
- defense-ops№ 771
OTX
OTX は当初 AlienVault が立ち上げ、現在は LevelBlue が運営する、オープンでコミュニティ主導の脅威インテリジェンス交換プラットフォームで、研究者は Pulse として指標を公開します。
- defense-ops№ 527
侵害指標(IoC)
ファイルハッシュ・IP・ドメイン・URL・レジストリキーなど、システムが侵害された、あるいは侵害されつつあることを示す観測可能なアーティファクト。
- defense-ops№ 1148
脅威インテリジェンス
脅威と攻撃者に関する、指標・TTP・背景を含むエビデンスベースの知識。セキュリティの意思決定と検知を導くために用いられる。