STIX
O que é STIX?
STIXSTIX e um padrao OASIS que define uma linguagem estruturada e legivel por maquina para representar e trocar inteligencia de ameacas entre organizacoes e ferramentas.
Structured Threat Information eXpression (STIX) e uma especificacao aberta da OASIS — atualmente STIX 2.1 — que modela inteligencia de ameacas como objetos JSON com tipos definidos: indicadores, malware, atores de ameaca, campanhas, intrusion sets e relacionamentos. Ao fornecer um esquema estavel para cada conceito, o STIX permite compartilhar contexto (TTPs, fases da kill chain, sightings) e nao apenas IoCs isolados, e permite que SIEMs, TIPs e SOARs ingiram os mesmos dados sem parsers personalizados. O STIX e tipicamente transportado pelo protocolo TAXII e e amplamente utilizado por ISACs, CERTs governamentais e provedores comerciais de inteligencia.
● Exemplos
- 01
Compartilhar uma familia de malware com indicadores, attack-pattern e threat-actor ligados por meio de um ISAC.
- 02
Exportar CTI de uma TIP como bundles STIX 2.1 consumidos por um SIEM.
● Perguntas frequentes
O que é STIX?
STIX e um padrao OASIS que define uma linguagem estruturada e legivel por maquina para representar e trocar inteligencia de ameacas entre organizacoes e ferramentas. Pertence à categoria Defesa e operações da cibersegurança.
O que significa STIX?
STIX e um padrao OASIS que define uma linguagem estruturada e legivel por maquina para representar e trocar inteligencia de ameacas entre organizacoes e ferramentas.
Como funciona STIX?
Structured Threat Information eXpression (STIX) e uma especificacao aberta da OASIS — atualmente STIX 2.1 — que modela inteligencia de ameacas como objetos JSON com tipos definidos: indicadores, malware, atores de ameaca, campanhas, intrusion sets e relacionamentos. Ao fornecer um esquema estavel para cada conceito, o STIX permite compartilhar contexto (TTPs, fases da kill chain, sightings) e nao apenas IoCs isolados, e permite que SIEMs, TIPs e SOARs ingiram os mesmos dados sem parsers personalizados. O STIX e tipicamente transportado pelo protocolo TAXII e e amplamente utilizado por ISACs, CERTs governamentais e provedores comerciais de inteligencia.
Como se defender contra STIX?
As defesas contra STIX costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para STIX?
Nomes alternativos comuns: Expressao Estruturada de Informacao de Ameacas, STIX 2.1.
● Termos relacionados
- defense-ops№ 1133
TAXII Protocol
TAXII e um protocolo de aplicacao OASIS sobre HTTPS para publicar, descobrir e consumir inteligencia de ameacas — geralmente conteudo STIX — entre organizacoes.
- defense-ops№ 684
MISP
MISP e uma plataforma de inteligencia de ameacas de codigo aberto para coletar, armazenar, correlacionar e compartilhar indicadores estruturados e contexto analitico entre comunidades de confianca.
- defense-ops№ 1158
TLP
TLP e um esquema simples de rotulagem mantido pelo FIRST que sinaliza o grau de sensibilidade da informacao compartilhada e com quem ela pode ser redistribuida.
- defense-ops№ 771
OTX
OTX e um intercambio aberto e comunitario de inteligencia de ameacas — originalmente AlienVault, agora LevelBlue OTX — onde pesquisadores publicam indicadores agrupados em Pulses.
- defense-ops№ 527
Indicador de Comprometimento (IoC)
Artefato observável — como hash, IP, domínio, URL ou chave de registro — que indica que um sistema foi ou está sendo comprometido.
- defense-ops№ 1148
Threat Intelligence
Conhecimento baseado em evidências sobre ameaças e atores — incluindo indicadores, TTPs e contexto — utilizado para orientar decisões de segurança e deteção.