STIX
STIX 是什么?
STIXSTIX 是 OASIS 制定的开放标准,以结构化、机器可读的语言表示和交换网络威胁情报。
结构化威胁信息表达(STIX)是 OASIS 的开放规范,目前最新版本为 STIX 2.1,它将威胁情报建模为 JSON 对象,定义了指标、恶意软件、威胁行为者、攻击活动、入侵集和关系等类型。通过为每个概念提供稳定的模式,STIX 允许分析师共享上下文(TTP、击杀链阶段、目击事件),而不仅仅是孤立的 IoC,SIEM、TIP 和 SOAR 等工具也无需自定义解析器即可接收相同的数据。STIX 通常使用配套的 TAXII 协议传输,被各行业 ISAC、政府 CERT 与商业情报提供商广泛采用。
● 示例
- 01
通过 ISAC 共享带有指标、attack-pattern 与 threat-actor 对象关联的恶意软件家族。
- 02
从 TIP 导出 STIX 2.1 数据包,由 SIEM 消费。
● 常见问题
STIX 是什么?
STIX 是 OASIS 制定的开放标准,以结构化、机器可读的语言表示和交换网络威胁情报。 它属于网络安全的 防御与运营 分类。
STIX 是什么意思?
STIX 是 OASIS 制定的开放标准,以结构化、机器可读的语言表示和交换网络威胁情报。
STIX 是如何工作的?
结构化威胁信息表达(STIX)是 OASIS 的开放规范,目前最新版本为 STIX 2.1,它将威胁情报建模为 JSON 对象,定义了指标、恶意软件、威胁行为者、攻击活动、入侵集和关系等类型。通过为每个概念提供稳定的模式,STIX 允许分析师共享上下文(TTP、击杀链阶段、目击事件),而不仅仅是孤立的 IoC,SIEM、TIP 和 SOAR 等工具也无需自定义解析器即可接收相同的数据。STIX 通常使用配套的 TAXII 协议传输,被各行业 ISAC、政府 CERT 与商业情报提供商广泛采用。
如何防御 STIX?
针对 STIX 的防御通常结合技术控制与运营实践,详见上方完整定义。
STIX 还有哪些其他名称?
常见的别称包括: 结构化威胁信息表达, STIX 2.1。
● 相关术语
- defense-ops№ 1133
TAXII Protocol
TAXII 是 OASIS 制定的基于 HTTPS 的应用层协议,用于在组织之间发布、发现和消费威胁情报,通常承载 STIX 内容。
- defense-ops№ 684
MISP
MISP 是一个开源威胁情报平台,用于收集、存储、关联并在可信社区之间共享结构化指标和分析师上下文。
- defense-ops№ 1158
TLP
TLP 是由 FIRST 维护的一套简单标签方案,用于标明共享的网络安全信息的敏感程度以及允许的再分发范围。
- defense-ops№ 771
OTX
OTX 是一个开放的社区型威胁情报交换平台 —— 最初由 AlienVault 推出,现归 LevelBlue 运营 —— 研究人员在此以 Pulse 的形式发布指标。
- defense-ops№ 527
入侵指标(IoC)
可观察的取证工件,如文件哈希、IP、域名、URL 或注册表键,可表明系统曾被或正被攻陷。
- defense-ops№ 1148
威胁情报
关于威胁与威胁行为者的、基于证据的知识——包含指标、TTP 和背景——用于指导安全决策与检测。