官方文档地址:点击即可
STIX关系对象(SRO)
STIX关系对象(SRO)表示用于描述CTI的关系类型。 通用的关系SRO用于描述许多不同类型的关系,而特定的Sighting SRO包含表示Sighting关系的其他属性。
为下面定义的每个SRO提供属性信息,关系信息和示例。 属性信息包括公用属性以及特定于每个SRO的属性。 由于SRO不能成为其他SRO的源或目标,因此包含了关系信息,但仅用于描述嵌入式关系(例如,created_by_ref)。
1. 关系(Relationship)
类型名称:relationship
Relationship对象用于将两个SDO链接在一起,以描述它们如何相互关联。如果在图形中将SDO视为“节点”或“顶点”,则关系对象(SRO)表示“边”。
STIX定义了许多关系类型以将SDO链接在一起。这些关系包含在每个SDO定义下的“系”表中。规范中定义的关系类型应该用来确保一致性。规范定义的关系的一个示例是威胁指标指示攻击活动。该关系类型在指标SDO定义的“关系”部分中列出。
STIX还允许从任何SDO到本规范中未定义的任何SDO的关系。这些关系可以使用related-to关系类型,也可以使用自定义关系类型。例如,用户可能希望将恶意软件直接链接到工具。他们可以使用related-来表示恶意软件与工具有关,但未描述其方式,或者他们可以使用delivered-by(他们确定的自定义名称)来表示更多详细信息。
请注意,STIX中的某些关系看起来像是“快捷方式”(shortcuts)。例如,威胁指标实际上并没有检测到活动:它检测到该攻击活动经常使用的活动(攻击模式,恶意软件等)。尽管某些分析人员可能想要所有源数据,并认为快捷方式会误导他人,但在许多情况下,仅提供关键点(快捷方式)并省略底层细节会有所帮助。在其他情况下,底层分析可能是未知的或不可共享的,而高层分析却是可共享的。由于这些原因,STIX并不排除似乎是“快捷方式”的关系。
1.1 规范定义的关系摘要
提供此关系摘要表是为了方便。 如果该表与每个SDO定义的关系之间存在差异,则必须将SDO定义的关系视为权威。
| 来源 |
类型 |
目标 |
来源 |
类型 |
目标 |
| attack-pattern |
targets |
vulnerability |
intrusion-set |
attributed-to |
threat-actor |
| attack-pattern |
targets |
identity |
intrusion-set |
targets |
identity |
| attack-pattern |
uses |
malware |
intrusion-set |
targets |
vulnerability |
| attack-pattern |
uses |
tool |
intrusion-set |
uses |
attack-pattern |
| campaign |
attributed-to |
intrusion-set |
intrusion-set |
uses |
malware |
| campaign |
attributed-to |
threat-actor |
intrusion-set |
uses |
tool |
| campaign |
targets |
identity |
malware |
targets |
identity |
| campaign |
targets |
vulnerability |
malware |
targets |
vulnerability |
| campaign |
uses |
malware |
malware |
uses |
tool |
| campaign |
uses |
tool |
malware |
variant-of |
malware |
| campaign |
uses |
attack-pattern |
threat-actor |
attributed-to |
identity |
| course-of-action |
mitigates |
attack-pattern |
threat-actor |
impersonates |
identity |
| course-of-action |
mitigates |
malware |
threat-actor |
targets |
identity |
| course-of-action |
mitigates |
tool |
threat-actor |
targets |
vulnerability |
| course-of-action |
mitigates |
vulnerability |
threat-actor |
uses |
attack-pattern |
| indicator |
indicates |
attack-pattern |
threat-actor |
uses |
malware |
| indicator |
indicates |
campaign |
threat-actor |
uses |
tool |
| indicator |
indicates |
intrusion-set |
tool |
targets |
identity |
| indicator |
indicates |
malware |
tool |
targets |
vulnerability |
| indicator |
indicates |
threat-actor |
|||
| indicator |
indicates |
tool |
1.2 属性
| 公共属性 |
||
| type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
| 关系特定属性 |
||
| relationship_type, description, source_ref, target_ref |
||
| 属性名 |
类型 |
描述 |
| type(必须) |
string |
属性字段的值必须为关系(relationship) |
| relationship_type(必须) |
string |
用于标识关系类型的名称。这个值应该是源和目标SDO关系中列出的确切值,但可以是任何字符串。 此属性的值必须为ASCII,并且限制为字符a–z(小写ASCII),0–9和连字符(-)。 |
| description(可选) |
string |
提供有关该关系的更多详细信息和上下文的描述,可能包括其目的和关键特征。 |
| source_ref(必须) |
identifier |
源(from)对象的ID。 该值必须是对SDO的ID引用(即,它不能指向SRO,捆绑包或标记定义)。 |
| target_ref(必须) |
identifier |
目标(to)对象的ID。。 该值必须是对SDO的ID引用(即,它不能指向SRO,捆绑包或标记定义)。 |
1.3 关系
在关系对象和其他对象之间没有任何关系,除了下面按属性名称列出的嵌入关系及其对应的目标。
| 嵌入关系 |
|
| created_by_ref |
identifier (of type identity ) |
| object_marking_refs |
Identifier(of type marking-definition) |
2. 瞄准(Sighting)
类型名称:sighting
瞄准表示相信在CTI(网络威胁情报)中看到了某些东西(例如威胁指标、恶意软件、工具、威胁行为者等)。瞄准被用来追踪目标是谁和什么,攻击是如何进行的,以及追踪攻击行为的趋势。
瞄准关系对象是SRO的一种特殊类型。它是一个关系,其中包含通用Relationship对象上不存在的其他属性。包括了这些额外的属性,以表示特定于瞄准关系的数据(例如,count,表示看到某物的次数),但出于其他目的,可以将瞄准视为具有“瞄准”名称的关系。瞄准被捕获为一种关系,因为除非有被看见的东西,否则您将无法看到。如果没有与所见事物的关系,则无法进行观察。
瞄准关系涉及瞄准的三个方面:
- 发现的内容,例如威胁指标,恶意软件,攻击活动或其他SDO(sighting_of_ref)
- 谁看到了它和/或发现它的地方,表示为一个Identity(where_sighted_refs)
- 在系统和网络上实际看到的内容,表示为“观察到的数据”(observed_data_refs)
发现的内容是必需的; 除非您说出所见,否则瞄准是没有意义的。 谁看到了它,在什么地方看到以及实际看到了什么是可选的。 在许多情况下,不必为了提供价值而提供详细级别。
每当“看到”任何SDO时,都会使用Sightings(瞄准)。在某些情况下,对象创建者希望传达的信息很少。这些细节可能很敏感,但是他们看到恶意软件实例或威胁行为者的事实可能仍然非常有用。在其他情况下,提供详细信息可能会有所帮助,甚至有必要;准确指出指标中的1000个IP地址中的哪个地址对跟踪那些IP中哪个仍然是恶意的很有帮助。
Sighting(瞄准)不同于观察到的数据,因为Sighting(瞄准)是一个情报断言(“我看到了这个威胁行为者”),而观察到的数据只是信息(“我看到了这个文件”)。当您将它们组合在一起,包括来自一个Sighting的链接观察数据(observed_data_refs)时,您可以说“我看到了这个文件,这使我认为我看到了这个威胁行为者”。尽管当前保留了置信度,但是从概念上讲,置信度将添加到“Sighting(瞄准)”(情报关系)中,而不是被添加到“观测数据”(原始信息)中。
2.1 属性
| 公共属性 |
||
| type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
| 瞄准特定属性 |
||
| first_seen, last_seen, count, sighting_of_ref, observed_data_refs, where_sighted_refs, summary |
||
| 属性名 |
类型 |
描述 |
| type(必须) |
string |
属性字段的值必须为瞄准(sighting) |
| first_seen(可选) |
timestamp |
时间窗口的开始,在此期间发现了sighting_of_ref属性引用的SDO。 |
| last_seen(可选) |
timestamp |
时间窗口的结尾,在此期间发现了sighting_of_ref属性引用的SDO。 |
| count(可选) |
integer |
该值必须为0到999,999,999(含)之间的整数,并且表示发现sighting_of_ref属性引用的SDO的次数。 观察到的数据具有称为number_observed的类似属性,它表示观察到数据的次数。这些计数涉及不同的概念并且是不同的。 例如,对 DDoS僵尸程序的一次瞄准可能会对它产生的网络流量进行数百万次观察。 因此,“瞄准”计数将为1(该机器人被观察到一次),但“观察到的数据”number_observed会更高。 作为另一个示例,计数为0的瞄准点可用于表示完全没有看到威胁指标。 |
| sighting_of_ref(必须) |
identifier |
看到的SDO的ID引用(例如威胁指标或恶意软件)。 例如,如果这是威胁指标的瞄准,则该威胁指标的ID将是此属性的值。 属性必须仅引用SDO或自定义对象。 |
| observed_data_refs(可选) |
list of type identifier |
ID引用列表,这些ID引用了包含此瞄准镜原始网络数据的Observed Data对象。 例如,具有IP地址的威胁指标的瞄准可以包括威胁指标用来检测网络连接的观察数据。 此属性必须仅引用观察到的数据SDO。 |
| where_sighted_refs(可选) |
list of type identifier |
ID引用列表,这些ID引用了瞄准发现的实体的Identity(受害者)对象。 省略where_sighted_refs属性并不意味着该瞄准已被对象创建者看到。 为了表明瞄准已被对象创建者看到,应在where_sighted_refs中列出代表对象创建者的身份。 此属性必须仅引用身份SDO。 |
| summary(可选) |
boolean |
summary属性指示是否应将瞄准视为摘要数据。摘要数据是先前瞄准报告的汇总,不应视为主要来源数据。 默认值为假。 |
2.2 关系
瞄准对象与其他对象之间没有任何关系,除了下面按属性名称列出的嵌入关系及其对应的目标。
| 嵌入关系 |
|
| created_by_ref |
identifier (of type identity ) |
| object_marking_refs |
Identifier(of type marking-definition) |
| sighting_of_ref |
identifier (of type any STIX Object type) |
| observed_data_refs |
list of type identifier (of type observed-data) |
| where_sighted_refs |
list of type identifier (of type identity) |
例子
瞄准威胁指标,无观测数据:
{
"type": "sighting",
"id": "sighting--ee20065d-2555-424f-ad9e-0f8428623c75",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:08:31.000Z",
"modified": "2016-04-06T20:08:31.000Z",
"sighting_of_ref": "indicator--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f"
}
瞄准威胁指标,观察到的数据(准确看到的内容)以及在何处看到:
[
{
"type": "sighting",
"id": "sighting--ee20065d-2555-424f-ad9e-0f8428623c75",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:08:31.000Z",
"modified": "2016-04-06T20:08:31.000Z",
"first_seen": "2015-12-21T19:00:00Z",
"last_seen": "2015-12-21T19:00:00Z",
"count": 50,
"sighting_of_ref": "indicator--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
"observed_data_refs": [
"observed-data--b67d30ff-02ac-498a-92f9-32f845f448cf"
],
"where_sighted_refs": [
"identity--b67d30ff-02ac-498a-92f9-32f845f448ff"
]
},
{
"type": "observed-data",
"id": "observed-data--b67d30ff-02ac-498a-92f9-32f845f448cf",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T19:58:16.000Z",
"modified": "2016-04-06T19:58:16.000Z",
"first_observed": "2015-12-21T19:00:00Z",
"last_observed": "2016-04-06T19:58:16Z",
"number_observed": 50,
"objects": {
"0": {
"type": "file"
},
…
}
}
]
