STIX 資料格式和 TAXII 通訊協定的組合是業界最廣泛採用傳輸網路威脅情報的標準[1]。
簡稱 TAXII,因為我還沒看到一個好的繁體中文翻譯所以就這麼稱呼他了,我在寫論文時一直在想 Intelligence Information 可以這樣寫麼? 就索性只要是情資我都稱他 Intelligence,因為 OSINT 的英文叫做 Open-Source Intelligence,尾巴也不是 Information...,這裡把 TAXII 翻成「可信的自動情資交換」又覺得很怪...,他是 OSI 的第七層協議,透過 HTTPS 來交換 CTI。
TAXII 示意圖[2]
TAXII 有兩個服務:
官方文件定義非常明確: https://docs.oasis-open.org/cti/taxii/v2.1/os/taxii-v2.1-os.html#_Toc31107488
不過我在 anomali 的網站上有看到它把 TAXII 分成更多類 https://www.anomali.com/resources/what-are-stix-taxii
三個模型以及四個服務
模型
服務
有沒有開源的 TAXII 伺服器跟用戶端呢!
EclecticIQ 就發佈了開源伺服器,可以從這邊下載 Docker
https://hub.docker.com/r/eclecticiq/opentaxii/
雖然看起來還有再更新,但比較像是在維護,沒有開發新的功能。
也有一些社群資源 https://taxiiproject.github.io/community/
今天比較無聊...,明天我們直接進入開源威脅情資平台吧!
[1] 將 Microsoft Sentinel 連線至 STIX/TAXII 威脅情報摘要 https://docs.microsoft.com/zh-tw/azure/sentinel/connect-threat-intelligence-taxii
[2] Sharing threat intelligence just got a lot easier! https://oasis-open.github.io/cti-documentation/