STIX
STIX (Structured Threat Information eXpression) 是由 MITRE 公司 (The MITRE Corporation) 所定義與開發出用來快速能達到表示事件相關性與涵蓋性之語言,以表達出架構性的網路威脅資訊。STIX 語言將包含網路威脅資訊的全部範圍,並盡可能地達到完整表示、彈性化、可延展性、自動化與可解讀性等特性。
從Kill Chain (攻擊鏈)可知道一次網路攻擊可能分成好幾個步驟,亦可從中了解最新的攻擊行為與如何防範
為了能夠滿足架構性網路威脅資訊之涵蓋範圍,STIX 提供了一個通用的機制,以增進架構穩定性、效率、相互合作性與整體情境感知 (Situational Awareness);同時,STIX 提供統一的架構,可將以下的威脅資訊做關聯:
以下圖表為 STIX 所提供之核心 Use Case 概觀,以支持網路威脅管理。
SOC如何應用
領域 SOC 調查觸發事件所蒐集的情資可能包含中繼站黑名單 IP、惡意網路連結、惡意程式/檔案、OpenIOC 規則、資安漏洞/弱點情資及相關郵件資訊等,後續領域 SOC 需彙整相關情資以 STIX 封裝回傳給 N-SOC 進行事件單關聯彙整。節錄官方STIX情資範本如下:
弱點訊息範例
STIX 最初始的應用是利用 XML 架構作為普及、可攜和架構化的機制,以達到各角色間細節、合作和精準化,並有提供實作架構。許多國外機關組織已利用 STIX 進行情報與資訊分享,諸如美國國土安全部 (The U.S. Department of Homeland Security)、US-CERT等。
參考來源
淺談以STIX實現網路威脅情報標準化框架
http://newsletter.ascc.sinica.edu.tw/news/read_news.php?nid=3010
行政院資通安全處-領域SOC實務建置索引
file:///Users/shin-yinghuang/Documents/train/ITiron/20181030_STIX_1/%E9%A0%98%E5%9F%9Fsoc%E5%AF%A6%E5%8B%99%E5%BB%BA%E7%BD%AE%E6%8C%87%E5%BC%95.pdf
STIX TAXII已經是threat intellegence主流了~多虧它資安情報才能快速交換分享