本文介绍了STIX2.0中的关系对象(SRO),包括Relationship和Sighting。Relationship用于连接两个SDO描述它们的关联,而Sighting表示对威胁情报的观察。Sighting不仅包含通用关系,还有如计数(count)等特殊属性,用于记录看到威胁指标的次数。Sighting与Observed Data结合,可提供更丰富的威胁情报信息。
官方文档地址:点击即可
STIX关系对象(SRO)
STIX关系对象(SRO)表示用于描述CTI的关系类型。 通用的关系SRO用于描述许多不同类型的关系,而特定的Sighting SRO包含表示Sighting关系的其他属性。
为下面定义的每个SRO提供属性信息,关系信息和示例。 属性信息包括公用属性以及特定于每个SRO的属性。 由于SRO不能成为其他SRO的源或目标,因此包含了关系信息,但仅用于描述嵌入式关系(例如,created_by_ref)。
1. 关系(Relationship)
类型名称:relationship
Relationship对象用于将两个SDO链接在一起,以描述它们如何相互关联。如果在图形中将SDO视为“节点”或“顶点”,则关系对象(SRO)表示“边”。
STIX定义了许多关系类型以将SDO链接在一起。这些关系包含在每个SDO定义下的“系”表中。规范中定义的关系类型应该用来确保一致性。规范定义的关系的一个示例是威胁指标指示攻击活动。该关系类型在指标SDO定义的“关系”部分中列出。
STIX还允许从任何SDO到本规范中未定义的任何SDO的关系。这些关系可以使用related-to关系类型,也可以使用自定义关系类型。例如,用户可能希望将恶意软件直接链接到工具。他们可以使用related-来表示恶意软件与工具有关,但未描述其方式,或者他们可以使用delivered-by(他们确定的自定义名称)来表示更多详细信息。
请注意,STIX中的某些关系看起来像是“快捷方式”(shortcuts)。例如,威胁指标实际上并没有检测到活动:它检测到该攻击活动经常使用的活动(攻击模式,恶意软件等)。尽管某些分析人员可能想要所有源数据,并认为快捷方式会误导他人,但在许多情况下,仅提供关键点(快捷方式)并省略底层细节会有所帮助。在其他情况下,底层分析可能是未知的或不可共享的,而高层分析却是可共享的。由于这些原因,STIX并不排除似乎是“快捷方式”的关系。
1.1 规范定义的关系摘要
提供此关系摘要表是为了方便。 如果该表与每个SDO定义的关系之间存在差异,则必须将SDO定义的关系视为权威。
| 来源 |
类型 |
目标 |
来源 |
类型 |
目标 |
| attack-pattern |
targets |
vulnerability |
intrusion-set |
attributed-to |
threat-actor |
| attack-pattern |
targets |
identity |
intrusion-set |
targets |
identity |
| attack-pattern |
uses |
malware |
intrusion-set |
targets |
vulnerability |
| attack-pattern |
uses |
tool |
intrusion-set |
uses |
attack-pattern |
| campaign |
attributed-to |
intrusion-set |
intrusion-set |
uses |
malware |
| campaign |
attributed-to |
threat-actor |
intrusion-set |
uses |
tool |
| campaign |
最低0.47元/天 解锁文章
扫一扫
4559
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
