實作

以網站上的Example來實作
https://oasis-open.github.io/cti-documentation/stix/examples

APT1的STIX
https://oasis-open.github.io/cti-documentation/examples/example_json/apt1.json

APT1的報告
https://www.mandiant.com/resources/apt1-exposing-one-of-chinas-cyber-espionage-units

1. Report
首先點中間灰色的有一些描述名稱: APT1: Exposing One of China's Cyber Espionage Units

2. Intrusion-set
接著點APT1延展三個 Threat-actor(粉紅色框)，並對應到黃色框框的人員

對應到報告

3. Attack-pattern
綠色框框中點Initial Compromise階段，查看最常使用魚叉式網絡釣魚（spear phishing ）

對應到報告

4. Tool
查看使用工具 (藍色框框) gsecdump在tool_types是憑證開發 credential-exploitation

對應到報告

5. Identity
點JackWang 在contact_information 查出其使用的Email uglygorilla@163[.]com

對應到報告

6. Indicator
到藍色指紋搜尋 以.net結尾，查到一個FQDN是arrowservice[.]net

對應到報告

說明

STIX 產生的關聯圖很適合拿來做報告閱讀的參考，關聯圖使用上比較直覺一點

不過還是補充一下這些報告只能參考，報告撰寫的研究員把收集到的資料做整理，可能有錯或有少

REF

https://samsclass.info/152/proj/IR380.htm