STIX
Что такое STIX?
STIXSTIX — открытый стандарт OASIS, задающий структурированный, машиночитаемый язык для представления и обмена киберразведкой между организациями и инструментами.
Structured Threat Information eXpression (STIX) — открытая спецификация OASIS, в настоящее время версия STIX 2.1, которая моделирует киберразведку в виде JSON-объектов с определёнными типами: Indicator, Malware, Threat Actor, Campaign, Intrusion Set, Relationship. Стабильная схема для каждого понятия позволяет делиться контекстом (TTP, фазами цепочки атаки, наблюдениями), а не только разрозненными IoC, и даёт возможность SIEM, TIP и SOAR-системам принимать одни и те же данные без самописных парсеров. STIX обычно передаётся протоколом TAXII и используется ISAC, государственными CERT и коммерческими поставщиками разведданных.
● Примеры
- 01
Обмен через ISAC семейством вредоносного ПО со связанными объектами Indicator, attack-pattern и threat-actor.
- 02
Экспорт CTI из TIP в виде пакетов STIX 2.1, потребляемых SIEM.
● Частые вопросы
Что такое STIX?
STIX — открытый стандарт OASIS, задающий структурированный, машиночитаемый язык для представления и обмена киберразведкой между организациями и инструментами. Относится к категории Защита и операции в кибербезопасности.
Что означает STIX?
STIX — открытый стандарт OASIS, задающий структурированный, машиночитаемый язык для представления и обмена киберразведкой между организациями и инструментами.
Как работает STIX?
Structured Threat Information eXpression (STIX) — открытая спецификация OASIS, в настоящее время версия STIX 2.1, которая моделирует киберразведку в виде JSON-объектов с определёнными типами: Indicator, Malware, Threat Actor, Campaign, Intrusion Set, Relationship. Стабильная схема для каждого понятия позволяет делиться контекстом (TTP, фазами цепочки атаки, наблюдениями), а не только разрозненными IoC, и даёт возможность SIEM, TIP и SOAR-системам принимать одни и те же данные без самописных парсеров. STIX обычно передаётся протоколом TAXII и используется ISAC, государственными CERT и коммерческими поставщиками разведданных.
Как защититься от STIX?
Защита от STIX обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия STIX?
Распространённые альтернативные названия: Структурированное выражение информации об угрозах, STIX 2.1.
● Связанные термины
- defense-ops№ 1133
TAXII Protocol
TAXII — прикладной протокол OASIS поверх HTTPS для публикации, обнаружения и получения киберразведывательных данных (как правило, контента STIX) между организациями.
- defense-ops№ 684
MISP
MISP — открытая платформа киберразведки для сбора, хранения, корреляции и обмена структурированными индикаторами и аналитическим контекстом в доверенных сообществах.
- defense-ops№ 1158
TLP
TLP — простая схема маркировки, поддерживаемая FIRST, которая указывает, насколько чувствительна разделяемая киберинформация и кому её можно перераспределять.
- defense-ops№ 771
OTX
OTX — открытая платформа обмена киберразведкой, изначально AlienVault, теперь LevelBlue OTX, где исследователи публикуют индикаторы, объединённые в Pulse.
- defense-ops№ 527
Индикатор компрометации (IoC)
Наблюдаемый артефакт — хэш файла, IP, домен, URL, ключ реестра, — указывающий на то, что система была или находится в процессе компрометации.
- defense-ops№ 1148
Threat Intelligence
Основанные на доказательствах знания об угрозах и злоумышленниках — индикаторах, TTP и контексте — используемые для принятия решений по безопасности и настройки детектирования.