对STIX2.0标准12个构件的解读（续）——对STIX2.0官方文档的翻译

官方文档地址：点击即可

---

1.  攻击模式（Attack Pattern）

类别名称: attack-pattern

 

攻击模式是TTP的一种，描述了攻击者试图破坏目标的方式。攻击模式用于帮助对攻击进行分类，将特定攻击概括为其遵循的模式，并提供有关如何进行攻击的详细信息。攻击模式的一个示例是“网络钓鱼”：一种常见的攻击类型，其中，攻击者向一方发送精心制作的电子邮件，目的是使他们单击链接或打开附件来分发恶意软件。攻击模式也可以更具体。按照特定威胁行为体的做法进行网络钓鱼（例如，他们通常会说目标赢得了比赛）也可以是攻击模式。

 

攻击模式SDO包含该模式的文本描述，以及对外部定义的攻击分类法（例如CAPEC [CAPEC]）的引用。来自攻击模式的关系可用于将其与目标对象（漏洞和身份）以及使用它的工具和恶意软件（工具和恶意软件）相关联。

1.1     属性

公共属性
type,   id,   created_by_ref,   created,   modified,   revoked,   labels,  external_references,   object_marking_refs,   granular_markings
攻击模式特定属性
name,   description,   kill_chain_phases
属性名	类型	描述
type（必须）	string	属性字段的值必须为攻击模式
external_references (可选)	list	引用非STIX信息的外部引用列表。 该属性可以用来提供一个或多个攻击模式标识符，例如CAPEC ID。 指定CAPEC ID时，外部引用的source_name属性必须设置为capec，而external_id属性必须格式为CAPEC- [id]
name （必须）	string	用于标识攻击模式的名称
description（描述）	string	提供了有关攻击模式的更多详细信息和上下文的描述，可能包括其目的和关键特征。
kill_chain_phases（可选）	list	使用此攻击模式的杀伤链阶段的列表。

1.2     关系

这些是“攻击模式”对象与其他SDO之间明确定义的关系。 第一部分按属性名称列出嵌入的关系及其对应的目标。 该表的其余部分通过“关系”对象来标识可以从“攻击模式”对象建立的关系。 为了方便起见，包括了反向关系（与“攻击模式”对象的关系）。 对于它们的定义，请参见它们代表“from”关系的对象。

 

关系不限于下面列出的那些。 可以使用related-to关系类型或与用户定义的名称（如开放式词汇）在任何SDO之间创建关系对象。

嵌入关系
created_by_ref		identifier (of type identity )
object_marking_refs		Identifier(of type marking-definition)
公有关系
duplicate-of ,    derived-from ,   related-to
来源	关系类型	目标	描述
attack-pattern	targets	identity , vulnerability	此关系描述此攻击模式通常针对的是由相关身份或漏洞对象表示的受害者或漏洞的类型。    例如，目标关系将用于SQL注入的攻击模式链接到代表域管理员的Identity对象，这意味着以攻击模式为特征的SQL注入形式以域管理员为目标，以实现其目标。   另一个示例是一种将SQL注入的攻击模式与博客软件中的漏洞相关联的关系，这意味着特定的SQL注入攻击会利用该漏洞。
attack-pattern	uses	malware ,   tool	此关系描述了相关的恶意软件或工具用于执行“攻击模式”中定义的行为。   例如，使用关联关系将用于分布式拒绝服务（DDoS）的攻击模式链接到低轨离子加农炮工具（LOIC）的使用关系表明该工具可用于执行那些DDoS攻击。
反向关系
indicator	indicates	attack-pattern	有关定义，请参见前向关系。
course-of-action	mitigates	attack-pattern	有关定义，请参见前向关系。
campaign , intrusion-set , threat-actor	uses	attack-pattern	有关定义，请参见前向关系。

例子：

网络钓鱼的通用攻击模式，参考CAPEC。

{

       "type": "attack-pattern",

       "id": "attack-pattern--0c7b5b88-8ff7-4a4d-aa9d-feb398cd0061",

       "created": "2016-05-12T08:17:27.000Z",

       "modified": "2016-05-12T08:17:27.000Z",

       "name": "Spear Phishing",

       "description": "...",

       "external_references": [

              {

                     "source_name": "capec",

                     "external_id": "CAPEC-163"

              }

       ]

}

针对特定形式的网络钓鱼的特定攻击方式，请参考CAPEC

[

       {

              "type": "attack-pattern",

              "id": "attack-pattern--7e33a43e-e34b-40ec-89da-36c9bb2cacd5",

              "created": "2016-05-12T08:17:27.000Z",

              "modified": "2016-05-12T08:17:27.000Z",

              "name": "Spear Phishing as Practiced by Adversary X",

              "description": "A particular form of spear phishing where the attacker claims that the target had won a contest, including personal details, to get them to click on a link.",

              "external_references": [

                     {

                            "source_name": "capec",

                            "id": "CAPEC-163"

                     }

              ]

       },

       {

              "type": "relationship",

              "id": "relationship--57b56a43-b8b0-4cba-9deb-34e3e1faed9e",

              "created": "2016-05-12T08:17:27.000Z",

              "modified": "2016-05-12T08:17:27.000Z",

              "relationship_type": "uses",

              "source_ref": "intrusion-set--0c7e22ad-b099-4dc3-b0df-2ea3f49ae2e6",

              "target_ref": "attack-pattern--7e33a43e-e34b-40ec-89da-36c9bb2cacd5"

       },

       {

              "type": "intrusion-set",

              "id": "intrusion-set--0c7e22ad-b099-4dc3-b0df-2ea3f49ae2e6",

              "created": "2016-05-12T08:17:27.000Z",

              "modified": "2016-05-12T08:17:27.000Z",

              "name": "Adversary X"

       }

]

2. 攻击活动（Campaign）

Type Name: Campaign

 

攻击活动是一组对抗行为，描述了一段时间内针对一组特定目标发生的一系列恶意活动或攻击（有时称为波动）。 运动通常具有明确的目标，并且可能是“入侵集”的一部分。

 

攻击活动通常归属于入侵集和威胁行为体。 威胁行为体可以重用入侵集中的已知基础设施，也可以建立特定于进行该活动的新基础设施。

 

攻击活动可以通过其目标，所引起的事件，所针对的人员或资源以及所使用的资源（基础设施，情报，恶意软件，工具等）来表征。

 

例如，一项攻击活动可以用来描述犯罪集团在2016年夏季使用特定种类的恶意软件和新的C2服务器对ACME银行高管的攻击，以获取有关即将与另一家银行合并的秘密信息。

2.1     属性

公共属性
type,   id,   created_by_ref,   created,   modified,   revoked,   labels,  external_references,   object_marking_refs,   granular_markings
攻击活动特定属性
name,   description,   aliases,   first_seen,   last_seen,   objective
属性名	类型	描述
type（必须）	string	属性字段的值必须为攻击活动（Campaign）
name （必须）	string	用于标识攻击活动的名称
description（描述）	string	提供了有关攻击活动的更多详细信息和上下文的描述，可能包括其目的和关键特征。
aliases（可选）	list of type string	用于标识此攻击活动的备用名称
first_seen（可选）	timestamp	该攻击活动首次出现的时间。   此属性是目击数据和STIX中可能提供或不提供的其他数据的摘要属性。 如果收到比第一次看到的时间戳早的新观测结果，则可以更新对象以说明新数据。
last_seen（可选）	timestamp	该活动最后一次出现的时间。   此属性是目击数据和STIX中可能提供或不提供的其他数据的摘要属性。 如果收到的最新观测结果晚于上次看到的时间戳，则可以更新对象以说明新数据。
objective（可选）	string	此属性定义了攻击活动的主要目标，目的，预期结果或预期效果-威胁行为体希望通过此攻击活动实现的目标。

2.2     关系

这些是Campaign对象和其他对象之间明确定义的关系。 第一部分按属性名称列出嵌入的关系及其对应的目标。 该表的其余部分标识可以通过“关系”对象从Campaign对象建立的关系。 为了方便起见，包括了反向关系（“与” Campaign对象的关系）。 对于它们的定义，请参见它们代表“from”关系的对象。

 

关系不限于下面列出的那些。 可以使用related-to关系类型，或与用户定义的名称一样，在任何对象之间创建关系。

嵌入关系
created_by_ref		identifier (of type identity )
object_marking_refs		Identifier(of type marking-definition)
公有关系
duplicate-of ,    derived-from ,   related-to
来源	关系类型	目标	描述
campaign	attributed-to	intrusion-set , threat-actor	此关系描述了执行活动所涉及的入侵集或威胁行为体。   例如，从“Glass Gazelle攻击活动”到“Urban Fowl威胁行为体”的归属关系是指该威胁行为体进行或参与了该攻击活动描述的某些攻击活动。
campaign	targets	identity , vulnerability	这种关系描述了该活动使用了相关漏洞的漏洞利用或针对相关身份所描述的受害者类型。   例如，从Glass Gazelle攻击活动到博客平台中的漏洞的目标关系表明，作为Glass Gazelle的一部分进行的攻击经常利用该漏洞。   同样，从Glass Gazelle攻击活动到描述美国能源部门的身份的目标关系意味着该运动通常会对该部门的目标进行攻击。
campaign	uses	attack-pattern , malware, tool	此关系描述了作为攻击活动一部分进行的攻击通常使用相关的攻击模式，恶意软件或工具。   例如，从Glass Gazelle攻击活动到xInject恶意软件的使用关系表明，攻击活动的攻击期间经常使用xInject。
反向关系
indicator	indicates	campaign	有关定义，请参见前向关系。

例子：

{

       "type": "campaign",

       "id": "campaign--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",

       "created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",

       "created": "2016-04-06T20:03:00.000Z",

       "modified": "2016-04-06T20:03:00.000Z",

       "name": "Green Group Attacks Against Finance",

       "description": "Campaign by Green Group against a series of targets in the financial services sector."

}

3. 处置方法（Course of Action）

Type Name: Course of Action

 

处置方法是指为防止攻击或对正在进行的攻击做出反应而采取的措施。 它可能描述了技术性的，可自动化的响应（应用补丁，重新配置防火墙），但也可能描述了更高级别的操作，例如员工培训或政策变更。 例如，缓解漏洞的措施可以描述应用修补此漏洞的补丁。

 

处置方法SDO包含对行动的文字描述； 保留的动作属性还可以用作占位符，以便将来包含机器可自动执行的动作过程。 处置方法中的关系可用于将其与缓解的漏洞或行为（工具，恶意软件，攻击模式）相关联。

3.1     属性

公共属性
type,   id,   created_by_ref,   created,   modified,   revoked,   labels,  external_references,   object_marking_refs,   granular_markings
处置方法特定属性
name,   description,   action
属性名	类型	描述
type（必须）	string	属性字段的值必须为处置方法（course-of-action）
name （必须）	string	用于标识处置方法的名称
description（可选）	string	提供了有关处置方法的更多详细信息和上下文的描述，可能包括其目的和关键特征。
action（保留的）	RESERVE已预留	保留–捕获结构化/自动化的处置方法。

3.2 关系

这些是“处置方法”对象和其他对象之间明确定