官方文档地址:点击即可
1. 攻击模式(Attack Pattern)
类别名称: attack-pattern
攻击模式是TTP的一种,描述了攻击者试图破坏目标的方式。攻击模式用于帮助对攻击进行分类,将特定攻击概括为其遵循的模式,并提供有关如何进行攻击的详细信息。攻击模式的一个示例是“网络钓鱼”:一种常见的攻击类型,其中,攻击者向一方发送精心制作的电子邮件,目的是使他们单击链接或打开附件来分发恶意软件。攻击模式也可以更具体。按照特定威胁行为体的做法进行网络钓鱼(例如,他们通常会说目标赢得了比赛)也可以是攻击模式。
攻击模式SDO包含该模式的文本描述,以及对外部定义的攻击分类法(例如CAPEC [CAPEC])的引用。来自攻击模式的关系可用于将其与目标对象(漏洞和身份)以及使用它的工具和恶意软件(工具和恶意软件)相关联。
1.1 属性
| 公共属性 |
||
| type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
| 攻击模式特定属性 |
||
| name, description, kill_chain_phases |
||
| 属性名 |
类型 |
描述 |
| type(必须) |
string |
属性字段的值必须为攻击模式 |
| external_references (可选) |
list |
引用非STIX信息的外部引用列表。 该属性可以用来提供一个或多个攻击模式标识符,例如CAPEC ID。 指定CAPEC ID时,外部引用的source_name属性必须设置为capec,而external_id属性必须格式为CAPEC- [id] |
| name (必须) |
string |
用于标识攻击模式的名称 |
| description(描述) |
string |
提供了有关攻击模式的更多详细信息和上下文的描述,可能包括其目的和关键特征。 |
| kill_chain_phases(可选) |
list |
使用此攻击模式的杀伤链阶段的列表。 |
1.2 关系
这些是“攻击模式”对象与其他SDO之间明确定义的关系。 第一部分按属性名称列出嵌入的关系及其对应的目标。 该表的其余部分通过“关系”对象来标识可以从“攻击模式”对象建立的关系。 为了方便起见,包括了反向关系(与“攻击模式”对象的关系)。 对于它们的定义,请参见它们代表“from”关系的对象。
关系不限于下面列出的那些。 可以使用related-to关系类型或与用户定义的名称(如开放式词汇)在任何SDO之间创建关系对象。
| 嵌入关系 |
|||
| created_by_ref |
identifier (of type identity ) |
||
| object_marking_refs |
Identifier(of type marking-definition) |
||
| 公有关系 |
|||
| duplicate-of , derived-from , related-to |
|||
| 来源 |
关系类型 |
目标 |
描述 |
| attack-pattern |
targets |
identity , vulnerability |
此关系描述此攻击模式通常针对的是由相关身份或漏洞对象表示的受害者或漏洞的类型。 例如,目标关系将用于SQL注入的攻击模式链接到代表域管理员的Identity对象,这意味着以攻击模式为特征的SQL注入形式以域管理员为目标,以实现其目标。 另一个示例是一种将SQL注入的攻击模式与博客软件中的漏洞相关联的关系,这意味着特定的SQL注入攻击会利用该漏洞。 |
| attack-pattern |
uses |
malware , tool |
此关系描述了相关的恶意软件或工具用于执行“攻击模式”中定义的行为。 例如,使用关联关系将用于分布式拒绝服务(DDoS)的攻击模式链接到低轨离子加农炮工具(LOIC)的使用关系表明该工具可用于执行那些DDoS攻击。 |
| 反向关系 |
|||
| indicator |
indicates |
attack-pattern |
有关定义,请参见前向关系。 |
| course-of-action |
mitigates |
attack-pattern |
有关定义,请参见前向关系。 |
| campaign , intrusion-set , threat-actor |
uses |
attack-pattern |
有关定义,请参见前向关系。 |
例子:
网络钓鱼的通用攻击模式,参考CAPEC。
{
"type": "attack-pattern",
"id": "attack-pattern--0c7b5b88-8ff7-4a4d-aa9d-feb398cd0061",
"created": "2016-05-12T08:17:27.000Z",
"modified": "2016-05-12T08:17:27.000Z",
"name": "Spear Phishing",
"description": "...",
"external_references": [
{
"source_name": "capec",
"external_id": "CAPEC-163"
}
]
}
针对特定形式的网络钓鱼的特定攻击方式,请参考CAPEC
[
{
"type": "attack-pattern",
"id": "attack-pattern--7e33a43e-e34b-40ec-89da-36c9bb2cacd5",
"created": "2016-05-12T08:17:27.000Z",
"modified": "2016-05-12T08:17:27.000Z",
"name": "Spear Phishing as Practiced by Adversary X",
"description": "A particular form of spear phishing where the attacker claims that the target had won a contest, including personal details, to get them to click on a link.",
"external_references": [
{
"source_name": "capec",
"id": "CAPEC-163"
}
]
},
{
"type": "relationship",
"id": "relationship--57b56a43-b8b0-4cba-9deb-34e3e1faed9e",
"created": "2016-05-12T08:17:27.000Z",
"modified": "2016-05-12T08:17:27.000Z",
"relationship_type": "uses",
"source_ref": "intrusion-set--0c7e22ad-b099-4dc3-b0df-2ea3f49ae2e6",
"target_ref": "attack-pattern--7e33a43e-e34b-40ec-89da-36c9bb2cacd5"
},
{
"type": "intrusion-set",
"id": "intrusion-set--0c7e22ad-b099-4dc3-b0df-2ea3f49ae2e6",
"created": "2016-05-12T08:17:27.000Z",
"modified": "2016-05-12T08:17:27.000Z",
"name": "Adversary X"
}
]
2. 攻击活动(Campaign)
Type Name: Campaign
攻击活动是一组对抗行为,描述了一段时间内针对一组特定目标发生的一系列恶意活动或攻击(有时称为波动)。 运动通常具有明确的目标,并且可能是“入侵集”的一部分。
攻击活动通常归属于入侵集和威胁行为体。 威胁行为体可以重用入侵集中的已知基础设施,也可以建立特定于进行该活动的新基础设施。
攻击活动可以通过其目标,所引起的事件,所针对的人员或资源以及所使用的资源(基础设施,情报,恶意软件,工具等)来表征。
例如,一项攻击活动可以用来描述犯罪集团在2016年夏季使用特定种类的恶意软件和新的C2服务器对ACME银行高管的攻击,以获取有关即将与另一家银行合并的秘密信息。
2.1 属性
| 公共属性 |
||
| type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
| 攻击活动特定属性 |
||
| name, description, aliases, first_seen, last_seen, objective |
||
| 属性名 |
类型 |
描述 |
| type(必须) |
string |
属性字段的值必须为攻击活动(Campaign) |
| name (必须) |
string |
用于标识攻击活动的名称 |
| description(描述) |
string |
提供了有关攻击活动的更多详细信息和上下文的描述,可能包括其目的和关键特征。 |
| aliases(可选) |
list of type string |
用于标识此攻击活动的备用名称 |
| first_seen(可选) |
timestamp |
该攻击活动首次出现的时间。 此属性是目击数据和STIX中可能提供或不提供的其他数据的摘要属性。 如果收到比第一次看到的时间戳早的新观测结果,则可以更新对象以说明新数据。 |
| last_seen(可选) |
timestamp |
该活动最后一次出现的时间。 此属性是目击数据和STIX中可能提供或不提供的其他数据的摘要属性。 如果收到的最新观测结果晚于上次看到的时间戳,则可以更新对象以说明新数据。 |
| objective(可选) |
string |
此属性定义了攻击活动的主要目标,目的,预期结果或预期效果-威胁行为体希望通过此攻击活动实现的目标。 |
2.2 关系
这些是Campaign对象和其他对象之间明确定义的关系。 第一部分按属性名称列出嵌入的关系及其对应的目标。 该表的其余部分标识可以通过“关系”对象从Campaign对象建立的关系。 为了方便起见,包括了反向关系(“与” Campaign对象的关系)。 对于它们的定义,请参见它们代表“from”关系的对象。
关系不限于下面列出的那些。 可以使用related-to关系类型,或与用户定义的名称一样,在任何对象之间创建关系。
| 嵌入关系 |
|||
| created_by_ref |
identifier (of type identity ) |
||
| object_marking_refs |
Identifier(of type marking-definition) |
||
| 公有关系 |
|||
| duplicate-of , derived-from , related-to |
|||
| 来源 |
关系类型 |
目标 |
描述 |
| campaign |
attributed-to |
intrusion-set , threat-actor |
此关系描述了执行活动所涉及的入侵集或威胁行为体。 例如,从“Glass Gazelle攻击活动”到“Urban Fowl威胁行为体”的归属关系是指该威胁行为体进行或参与了该攻击活动描述的某些攻击活动。 |
| campaign |
targets |
identity , vulnerability |
这种关系描述了该活动使用了相关漏洞的漏洞利用或针对相关身份所描述的受害者类型。 例如,从Glass Gazelle攻击活动到博客平台中的漏洞的目标关系表明,作为Glass Gazelle的一部分进行的攻击经常利用该漏洞。 同样,从Glass Gazelle攻击活动到描述美国能源部门的身份的目标关系意味着该运动通常会对该部门的目标进行攻击。 |
| campaign |
uses |
attack-pattern , malware, tool |
此关系描述了作为攻击活动一部分进行的攻击通常使用相关的攻击模式,恶意软件或工具。 例如,从Glass Gazelle攻击活动到xInject恶意软件的使用关系表明,攻击活动的攻击期间经常使用xInject。 |
| 反向关系 |
|||
| indicator |
indicates |
campaign |
有关定义,请参见前向关系。 |
例子:
{
"type": "campaign",
"id": "campaign--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:03:00.000Z",
"modified": "2016-04-06T20:03:00.000Z",
"name": "Green Group Attacks Against Finance",
"description": "Campaign by Green Group against a series of targets in the financial services sector."
}
3. 处置方法(Course of Action)
Type Name: Course of Action
处置方法是指为防止攻击或对正在进行的攻击做出反应而采取的措施。 它可能描述了技术性的,可自动化的响应(应用补丁,重新配置防火墙),但也可能描述了更高级别的操作,例如员工培训或政策变更。 例如,缓解漏洞的措施可以描述应用修补此漏洞的补丁。
处置方法SDO包含对行动的文字描述; 保留的动作属性还可以用作占位符,以便将来包含机器可自动执行的动作过程。 处置方法中的关系可用于将其与缓解的漏洞或行为(工具,恶意软件,攻击模式)相关联。
3.1 属性
| 公共属性 |
||
| type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
| 处置方法特定属性 |
||
| name, description, action |
||
| 属性名 |
类型 |
描述 |
| type(必须) |
string |
属性字段的值必须为处置方法(course-of-action) |
| name (必须) |
string |
用于标识处置方法的名称 |
| description(可选) |
string |
提供了有关处置方法的更多详细信息和上下文的描述,可能包括其目的和关键特征。 |
| action(保留的) |
RESERVE已预留 |
保留–捕获结构化/自动化的处置方法。 |
3.2 关系
这些是“处置方法”对象和其他对象之间明确定义的关系。第一部分按属性名称列出嵌入的关系及其对应的目标。 该表的其余部分标识了可以通过“关系”对象从“处置方法”对象建立的关系。 为方便起见,包括了反向关系(与“处置方法”对象的关系)。 对于它们的定义,请参见它们代表“from关系不限于下面列出的那些。
可以使用“关联到”关系类型,可以使用related-to关系类型,或与用户定义的名称一样,在任何对象之间创建关系。
| 嵌入关系 |
|||
| created_by_ref |
identifier (of type identity ) |
||
| object_marking_refs |
Identifier(of type marking-definition) |
||
| 公有关系 |
|||
| duplicate-of , derived-from , related-to |
|||
| 来源 |
关系类型 |
目标 |
描述 |
| course-of-action |
mitigates |
attack-pattern , malware , tool , vulnerability |
这种关系描述了“处置方法”可以缓解相关的攻击模式,恶意软件,漏洞或工具。 例如,从“处置方法”对象到“恶意软件”对象的缓和关系表示该处置方法减轻了该恶意软件的影响。 |
| 反向关系 |
|||
| — |
— |
— |
— |
例子
[
{
"type": "course-of-action",
"id": "course-of-action--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:03:48.000Z",
"modified": "2016-04-06T20:03:48.000Z",
"name": "Add TCP port 80 Filter Rule to the existing Block UDP 1434 Filter",
"description": "This is how to add a filter rule to block inbound access to TCP port 80 to the existing UDP 1434 filter ..."
},
{
"type": "relationship",
"id": "relationship--44298a74-ba52-4f0c-87a3-1824e67d7fad",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:07:10.000Z",
"modified": "2016-04-06T20:07:10.000Z",
"relationship_type": "mitigates",
"source_ref": "course-of-action--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
"target_ref": "malware--31b940d4-6f7f-459a-80ea-9c1f17b5891b"
},
{
"type": "malware",
"id": "malware--31b940d4-6f7f-459a-80ea-9c1f17b5891b",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:07:09.000Z",
"modified": "2016-04-06T20:07:09.000Z",
"name": "Poison Ivy"
}
]
4. 身份(Identity)
Type Name: identity
身份可以代表实际的个人,组织或团体(例如ACME,Inc.),也可以代表个人,组织或团体的类别(例如金融部门)。
身份SDO可以捕获基本标识信息,联系信息以及身份所属的部门。 身份在STIX中用于表示攻击,信息源,对象创建者和威胁行为体身份的目标。
4.1 属性
| 公共属性 |
||
| type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
| 身份特定属性 |
||
| name, description, identity_class, sectors, contact_information |
||
| 属性名 |
类型 |
描述 |
| type(必须) |
string |
属性字段的值必须为身份(identity) |
| name (必须) |
string |
此身份的名称。 当引用特定实体(例如,个人或组织)时,此属性应包含特定实体的规范名称。 |
| labels(可选) |
list of type string |
此身份执行的角色列表(例如,CEO,域管理员,医生,医院或零售商)。 尚未为此属性定义任何开放式词汇。 |
| description(可选) |
string |
提供有关身份的更多详细信息和上下文的描述,可能包括其目的和关键特征。 |
| identity_class(必须) |
open-vocab |
此身份描述的实体的类型,例如个人或组织。 这是一个开放的词汇表,值应来自identity-class-ov词汇表。 |
| sectors(可选) |
list of type open-vocab |
此标识所属的行业部门列表。 这是一个开放的词汇表,其值应该来自industry-sector-ov词汇表 |
| contact_information(可选) |
string |
此身份的联系信息(电子邮件,电话号码等)。 本规范当前未定义此信息的格式。 |
4.2 关系
从公用属性继承的所有STIX对象(称为created_by_ref)都与身份存在嵌入式关系。此属性将每个对象与创建该对象的组织或个人的身份相关联。
这些是在Identity对象和其他对象之间明确定义的关系。第一部分按属性名称列出嵌入的关系及其对应的目标。该表的其余部分标识可以通过Identity对象从Identity对象建立的关系。没有为Identity对象定义任何内容。为方便起见,包括了反向关系(“到” Identity对象的关系)。对于它们的定义,请参见它们代表“from”关系的对象。
关系不限于下面列出的那些。可以使用“related-to”关系类型,或与用户定义的名称一样,在任何对象之间创建关系。
| 嵌入关系 |
|||
| created_by_ref |
identifier (of type identity ) |
||
| object_marking_refs |
Identifier(of type marking-definition) |
||
| 公有关系 |
|||
| duplicate-of , derived-from , related-to |
|||
| 来源 |
关系类型 |
目标 |
描述 |
| — |
— |
— |
— |
| 反向关系 |
|||
| attack-pattern , campaign, intrusion-set , malware , threat-actor , tool |
targets |
identity |
有关定义,请参见前向关系 |
| threat-actor |
attributed-to , impersonates |
identity |
有关定义,请参见前向关系 |
例子
1.名为John Smith的个人的身份:
{
"type": "identity",
"id": "identity--023d105b-752e-4e3c-941c-7d3f3cb15e9e",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:03:00.000Z",
"modified": "2016-04-06T20:03:00.000Z",
"name": "John Smith",
"identity_class": "individual"
}
- 名为ACME Widget公司的身份
{
"type": "identity",
"id": "identity--e5f1b90a-d9b6-40ab-81a9-8a29df4b6b65",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:03:00.000Z",
"modified": "2016-04-06T20:03:00.000Z",
"name": "ACME Widget,Inc.",
"identity_class": "organization"
}
5. 威胁指标(Indicator)
Type Name: Indicator
威胁指标包含可用于检测可疑或恶意网络活动的模式。 例如,一个威胁指标可用于表示一组恶意域,并使用STIX模式语言(STIX™版本2.0 第5部分:STIX模式)指定这些域。
威胁指标SDO包含一个简单的文本描述、检测行为的“杀伤链阶段”、一个威胁指标有效或有用的时间窗口以及捕获结构化检测模式所需的模式属性。符合标准的STIX实现必须支持STIX™2.0版中定义的STIX模式语言的第5部分:STIX模式。尽管每种结构化模式语言具有不同的语法和可能不同的语义,但通常,当在任何形式的结构化模式中指定的条件在任何上下文中均得到满足时,威胁指标就被视为“匹配”(或被“观察到”)。
威胁指标中的关系可以描述其直接检测到的恶意或可疑行为(恶意软件,工具和攻击模式),以及可能指示其存在的活动,入侵集和威胁行为体。
5.1 属性
| 公共属性 |
||
| type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
| 威胁指标特定属性 |
||
| name, description, pattern, valid_from, valid_until, kill_chain_phases |
||
| 属性名 |
类型 |
描述 |
| type(必须) |
string |
属性字段的值必须为威胁指标(indicator) |
| name (可选) |
string |
用于标识威胁指标的名称。 |
| labels(必须) |
list of type open-vocab |
此属性是一个开放词汇表,用于指定指标的类型。 这是一个开放的词汇表,值应该来自于indicator-label-ov词汇表。 |
| description(可选) |
string |
提供有关威胁指标的更多详细信息和上下文的描述,可能包括其目的和关键特征。 |
| pattern(必须) |
string |
此指示器的检测模式是STIX™2.0版中指定的STIX模式的第5部分:STIX模式。 |
| valid_from(必须) |
timestamp |
该威胁指标应被视为有价值的情报的时间。 |
| valid_until(可选) |
timestamp |
不再应将此威胁指标视为宝贵的情报。 如果省略了valid_until属性,则对使用威胁指标的最新时间没有任何限制。 |
| kill_chain_phases(可选) |
list of type kill-chain-phase |
该威胁指标对应的杀伤链阶段。 |
5.2 关系
这些是指标对象和其他对象之间明确定义的关系。 第一部分按属性名称列出嵌入的关系及其对应的目标。 该表的其余部分标识可以通过“关系”对象从“威胁指标”对象建立的关系。 为了方便起见,包括了反向关系(与“威胁指标”对象的关系)。 对于它们的定义,请参见它们代表“from”关系的对象。
关系不限于下面列出的那些。 可以使用“related-to”关系类型,或与用户定义的名称一样,在任何对象之间创建关系。
| 嵌入关系 |
|||
| created_by_ref |
identifier (of type identity ) |
||
| object_marking_refs |
Identifier(of type marking-definition) |
||
| 公有关系 |
|||
| duplicate-of , derived-from , related-to |
|||
| 来源 |
关系类型 |
目标 |
描述 |
| indicator |
indicates |
attack-pattern , campaign, intrusion-set, malware , threat-actor , tool |
这种关系描述了威胁指标可以检测到有关攻击活动,入侵集或威胁行为体的证据。该证据可能不是直接的:例如,指标可能检测到该活动的次要证据,例如该活动通常使用的恶意软件或行为。 例如,一个从威胁指标到代表Glass Gazelle的Campaign对象的关系表示威胁指标能够检测Glass Gazelle的证据,例如该Campaign常用的命令和控制IP |
| 反向关系 |
|||
| — |
— |
— |
— |
例子
威胁指标本身,具有背景
[
{
"type": "indicator",
"id": "indicator--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:03:48.000Z",
"modified": "2016-04-06T20:03:48.000Z",
"labels": [
"malicious-activity"
],
"name": "Poison Ivy Malware",
"description": "This file is part of Poison Ivy",
"pattern":"[file:hashes.'SHA-256'= '4bac27393bdd9777ce02453256c5577cd02275510b2227f473d03f533924f877' ]",
"valid_from": "2016-01-01T00:00:00Z"
},
{
"type": "relationship",
"id": "relationship--44298a74-ba52-4f0c-87a3-1824e67d7fad",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:06:37.000Z",
"modified": "2016-04-06T20:06:37.000Z",
"relationship_type": "indicates",
"source_ref": "indicator--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
"target_ref": "malware--31b940d4-6f7f-459a-80ea-9c1f17b5891b"
},
{
"type": "malware",
"id": "malware--31b940d4-6f7f-459a-80ea-9c1f17b5891b",
"created": "2016-04-06T20:07:09.000Z",
"modified": "2016-04-06T20:07:09.000Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"name": "Poison Ivy"
}
]
6. 入侵集(Intrusion Set)
Type Name: Intrusion Set
入侵集是一组具有共同属性的对抗行为和资源,被认为是由单个组织精心策划的。入侵集可以捕获多个攻击活动或其他活动,这些攻击活动或其他活动都通过共享属性捆绑在一起,这些属性指示一个共同的已知或未知威胁行为体。即使不知道攻击背后的威胁行为体,也可以将新活动归因于入侵集。威胁行为体可以从支持一个入侵集迁移到支持另一个入侵集,也可以支持多个入侵集。
如果攻击活动是针对特定目标组在一段时间内进行的一系列攻击以实现某个目标,则入侵集是整个攻击包,并且可能在很长一段时间内用于多个攻击活动中以实现潜在的多重攻击目的。
尽管有时入侵集未处于活动状态或更改了焦点,但通常很难知道入侵集是否确实消失或结束。在将入侵集归还给威胁行为体方面,分析师可能具有不同的忠诚度,并且可能仅能将归因归于某个民族国家或该民族国家内的组织。
6.1 属性
| 公共属性 |
||
| type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
| 入侵集特定属性 |
||
| name, description, aliases, first_seen, last_seen, goals, resource_level, primary_motivation, secondary_motivations |
||
| 属性名 |
类型 |
描述 |
| type(必须) |
string |
属性字段的值必须为入侵集(intrusion-set) |
| name (可选) |
string |
用于标识入侵集的名称。 |
| description(可选) |
string |
提供有关入侵集的更多详细信息和上下文的描述,可能包括其目的和关键特征。 |
| aliases(可选) |
list of type string |
用于标识此入侵集的备用名称。 |
| first_seen(可选) |
timestamp |
首次看到此入侵集的时间。 此属性是目击数据和STIX中可能提供或不提供的其他数据的摘要属性。 如果收到比第一次看到的时间戳早的新观测结果,则可以更新对象以说明新数据。 |
| last_seen(可选) |
timestamp |
上次看到此入侵集的时间。 此属性是目击数据和STIX中可能提供或不提供的其他数据的摘要属性。 如果收到的最新观测结果晚于上次看到的时间戳,则可以更新对象以说明新数据。 |
| goals(可选) |
list of type string |
此入侵集的高级目标,即他们要做什么。 例如,他们可能是出于个人利益的动机,但是他们的目标是窃取信用卡号码。 为此,他们可以执行特定的攻击活动,这些攻击活动的目标很明确,例如损害大型零售商的销售点系统。 另一个示例:从ACME银行获取有关最新合并和IPO信息的信息。 |
| resource_level(可选) |
open-vocab |
这定义了该入侵集通常工作的组织级别,进而确定了该入侵集可用于攻击的资源。 这是一个开放的词汇表,值应该来自attack-resource-level-ov词汇表。 |
| primary_motivation(可选) |
open-vocab |
入侵集背后的主要原因,动机或目的。 动机是入侵集希望实现目标(他们试图实现的目标)的原因。 例如,旨在破坏一个国家金融部门的入侵集可能是由对资本主义的意识形态仇恨所激发的。 这是一个开放式词汇,其值应该来自attack-motivation-ov词汇表 |
| secondary_motivations(可选) |
list of type open-vocab |
此入侵集背后的次要原因,动机或目的。 |
6.2 关系
这些是入侵集对象和其他对象之间明确定义的关系。 第一部分按属性名称列出嵌入的关系及其对应的目标。 该表的其余部分通过“关系”对象来标识可以从“入侵集”对象建立的关系。 为方便起见,包括了反向关系(与“入侵集”对象的关系)。 对于它们的定义,请参见它们代表“from”关系的对象。
关系不限于下面列出的那些。 可以使用“related-to”关系类型,或与用户定义的名称一样,在任何对象之间创建关系。
| 嵌入关系 |
|||
| created_by_ref |
identifier (of type identity ) |
||
| object_marking_refs |
Identifier(of type marking-definition) |
||
| 公有关系 |
|||
| duplicate-of , derived-from , related-to |
|||
| 来源 |
关系类型 |
目标 |
描述 |
| intrusion-set |
attributed-to |
threat-actor |
此关系描述了相关的威胁行为体参与执行入侵集。 例如,从Red Orca入侵集到Urban Fowl威胁行为体的归属关系表示该威胁行为体执行或参与了入侵集描述的某些活动。 |
| intrusion-set |
targets |
identity, vulnerability |
此关系描述了入侵集使用相关漏洞的利用或针对相关身份所描述的受害者的类型。 例如,在博客平台中从Red Orca入侵集到漏洞的目标关系表明,作为Red Orca的一部分进行的攻击经常利用该漏洞。 同样,从Red Orca入侵集到描述美国能源部门的身份的目标关系意味着,入侵集通常会对该部门中的目标进行攻击。 |
| intrusion-set |
uses |
attack-pattern , malware , tool |
此关系描述了作为入侵集的一部分进行的攻击通常使用相关的攻击模式,恶意软件或工具。 例如,从Red Orca入侵集到xInject恶意软件的使用关系表明,该入侵集的攻击期间经常使用xInject。 |
| 反向关系 |
|||
| campaign |
attributed-to |
intrusion-set |
有关定义,请参见前向关系。 |
| indicator |
indicates |
intrusion-set |
有关定义,请参见前向关系。 |
例子
{
"type": "intrusion-set",
"id": "intrusion-set--4e78f46f-a023-4e5f-bc24-71b3ca22ec29",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:03:48.000Z",
"modified": "2016-04-06T20:03:48.000Z",
"name": "Bobcat Breakin",
"description": "Incidents usually feature a shared TTP of a bobcat being released within the building containing network access, scaring users to leave their computers without locking them first. Still determining where the threat actors are getting the bobcats.",
"aliases": [
"Zookeeper"
],
"goals": [
"acquisition-theft",
"harassment",
"damage"
]
}
7. 恶意软件(Malware)
Type Name:malware
注意:STIX 2.0中的Malware对象是一个存根。它被包括在内以支持基本用例,但可能对于实际的恶意软件分析或甚至包括简单的恶意软件实例数据都没有用。 STIX 2的未来版本将对其进行扩展以包括这些功能。
恶意软件是一种TTP,也称为恶意代码和恶意软件,是指通常以秘密方式插入到系统中的程序,旨在损害受害者的数据,应用程序或操作系统(OS)的机密性,完整性或可用性,或以其他方式使受害者恼怒或破坏。诸如病毒和蠕虫之类的恶意软件通常被设计为执行这些害功能,使得用户至少在最初没有意思到它们。
恶意软件SDO通过文本描述属性对恶意软件样本和家族进行特征化,识别和分类。这提供了有关恶意软件如何工作以及其功能的详细信息。来自恶意软件的关系可以捕获恶意软件的目标(漏洞和身份),并将其链接到该恶意软件的另一种恶意软件SDO。
7.1 属性
| 公共属性 |
||
| type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
| 恶意软件特定属性 |
||
| name, description, kill_chain_phases |
||
| 属性名 |
类型 |
描述 |
| type(必须) |
string |
属性字段的值必须为恶意软件(malware) |
| label(必须) |
list of type open-vocab |
描述的恶意软件类型。 这是一个开放的词汇表,值应来自malware-label-ov词汇表。 |
| name(必须) |
string |
用于标识恶意软件样本的名称。 |
| description(可选) |
string |
提供有关恶意软件的更多详细信息和上下文的描述,可能包括其目的和关键特征。 |
| kill_chain_phases (可选) |
list of type kill-chain-phase |
可以使用此恶意软件的杀伤链阶段的列表。 |
7.2 关系
这些是恶意软件对象与其他对象之间明确定义的关系。 第一部分按属性名称列出嵌入的关系及其对应的目标。 该表的其余部分通过“关系”对象标识可以从“恶意软件”对象建立的关系。 为了方便起见,包括了反向关系(“与”恶意软件对象的关系)。 对于它们的定义,请参见它们代表“from”关系的对象。
关系不限于下面列出的那些。 可以使用“related-to”关系类型,或与用户定义的名称一样,在任何对象之间创建关系。
| 嵌入关系 |
|||
| created_by_ref |
identifier (of type identity ) |
||
| object_marking_refs |
Identifier(of type marking-definition) |
||
| 公有关系 |
|||
| duplicate-of , derived-from , related-to |
|||
| 来源 |
关系类型 |
目标 |
描述 |
| malware |
targets |
identity, vulnerability |
此关系记录了这个恶意软件是用来针对这个身份或利用漏洞。 例如,目标关系将代表下载程序的恶意软件链接到CVE-2016-0001的漏洞,意味着该恶意软件利用了该漏洞。 类似地,目标关系将代表下载程序的恶意软件链接到代表能源部门的身份,这意味着通常针对能源领域的目标使用下载程序的恶意软件。 |
| malware |
uses |
tool |
此关系证明该恶意软件使用相关工具来执行其功能。 |
| malware |
variant-of |
malware |
此关系用于证明一个恶意软件是另一个恶意软件的变体。 例如,TorrentLocker是CryptoLocker的变体。 |
| 反向关系 |
|||
| indicator |
indicates |
malware |
有关定义,请参见前向关系。 |
| course-of-action |
mitigates |
malware |
有关定义,请参见前向关系。 |
| attack-pattern , campaign , intrusion-set , threat-actor |
uses |
malware |
有关定义,请参见前向关系。 |
例子
{
"type": "malware",
"id": "malware--0c7b5b88-8ff7-4a4d-aa9d-feb398cd0061",
"created": "2016-05-12T08:17:27.000Z",
"modified": "2016-05-12T08:17:27.000Z",
"name": "Cryptolocker",
"description": "...",
"labels": [
"ransomware"
]
}
8. 可观察数据(Observed Data)
Type Name: Observed Data
观测数据传达了使用本规范第3部分和第4部分中定义的“网络可观测”规范在系统和网络上观测到的信息。例如,“观察的数据”可以捕获对IP地址,网络连接,文件或注册表项的观察。观测数据不是智能断言,它只是信息:查看了该文件,没有任何含义。
观测数据既捕获单个实体(文件,网络连接)的单个观测值,又捕获一个实体的多个观测值的汇总。当number_observed属性为1时,被观察数据属于单个实体。当number_observed属性大于1时,观察到的数据由在first_observed和last_observed属性指定的时间窗口内收集的实体的多个实例组成。当用于收集汇总数据时,网络可观察对象中的某些字段(例如时间戳字段)可能会被省略,因为它们对于每个单独的观察都会有所不同。
观察到的数据可以自己使用(没有关系)来传达从网络和基于主机的检测工具收集的原始数据。防火墙可能会针对它看到的每个连接发出一个包含单个Network Traffic对象的单个Observed Data实例。防火墙还可以聚合数据,而是每隔十分钟发送一个IP地址和一个适当的number_observed值以指示在该窗口中观察到IP地址的次数的Observed Data实例。
观察到的数据也可能与其他SDO相关,以表示与这些对象相关的原始数据。Sighting对象捕获一个威胁指标、恶意软件或其他SDO,它使用观察到的数据来表示导致创建该Sighting的原始信息(例如,显示某个特定恶意软件实例处于活动状态的实际所看到的内容)。
8.1 属性
| 公共属性 |
||
| type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
| 可观察数据特定属性 |
||
| first_observed, last_observed, number_observed, objects |
||
| 属性名 |
类型 |
描述 |
| type(必须) |
string |
属性字段的值必须为可观察数据(observed-data) |
| first_observed(必须) |
timestamp |
观察数据的时间窗口开始。 |
| last_observed(必须) |
timestamp |
观察数据的时间窗口结束。 |
| number_observed(必须) |
integer |
观察对象属性中表示的数据的次数。 该值必须为1到999,999,999(含)之间的整数。 如果number_observed属性大于1,那么对象属性中包含的数据就会被观察多次。在这些情况下,对象创建者可能会忽略特定于所观察数据的单个实例的网络可观察对象的属性(例如时间戳)。 |
| objects(必须) |
observable-objects |
代表观测的网络可观测对象字典。字典必须至少包含一个对象。可观察对象类型在STIX™2.0版中定义。第3部分:网络可观察的核心概念。 如果这些对象是作为单个观察的一部分相关的,则网络可观察内容可以包括多个对象。通过“网络可观察的关系”彼此不相关的多个对象一定不能包含在同一“观察的数据”实例中。 例如,可以将通过src_ref和dst_ref属性关联的网络流量对象和两个IPv4地址对象包含在同一观察数据中,因为它们都是相关的并用于表征单个实体。但是,必须在单独的“观察数据”实例中表示恰好同时观察到的两个不相关的IPv4地址对象。 |
8.2 关系
除了那些定义为公共关系的对象之外,在“观察到的数据”对象与其他对象之间没有明确定义的关系。第一部分按属性名称列出嵌入的关系及其对应的目标。
除了使用通用Relationship对象创建的关系外,Observed Data也是Sighting SRO的直接目标。Sighting代表所看到的某些情报实体(例如,指示器或恶意软件实例)之间的关系,所看到的与实际所见的证据之间的关系。该关系中的证据(或原始数据)被捕获为“观察数据”。
关系不限于下面列出的那些。 可以使用“related-to”关系类型,或与用户定义的名称一样,在任何对象之间创建关系。
| 嵌入关系 |
|||
| created_by_ref |
identifier (of type identity ) |
||
| object_marking_refs |
Identifier(of type marking-definition) |
||
| 公有关系 |
|||
| duplicate-of , derived-from , related-to |
|||
| 来源 |
关系类型 |
目标 |
描述 |
| —— |
—— |
—— |
—— |
例子
观察文件对象的数据
{
"type": "observed-data",
"id": "observed-data--b67d30ff-02ac-498a-92f9-32f845f448cf",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T19:58:16.000Z",
"modified": "2016-04-06T19:58:16.000Z",
"first_observed": "2015-12-21T19:00:00Z",
"last_observed": "2015-12-21T19:00:00Z",
"number_observed": 50,
"objects": {
"0": {
"type": "file"
},
…
}
}
9. 报告(Report)
Type Name: Report
报告是针对一个或多个主题的威胁情报的集合,这些威胁情报包括威胁行为体,恶意软件或攻击技术的描述,包括上下文和相关详细信息。它们用于将相关的威胁情报分组在一起,以便可以将其作为全面的网络威胁事件进行发布。
报告SDO包含对SDO和SRO(报告中包含的CTI对象)的引用列表,以及文本说明和报告名称。
例如,应使用报告来代表ACME防御公司.讨论Glass Gazelle攻击活动的威胁报告。报告本身将包含报告的叙述,同时在报告内容中引用运动SDO和任何相关的SDO(例如,运动的指标,其使用的恶意软件以及相关的关系)。
9.1 属性
| 公共属性 |
||
| type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
| 报告特定属性 |
||
| name, description, published, object_refs |
||
| 属性名 |
类型 |
描述 |
| type(必须) |
string |
属性字段的值必须为报告(report) |
| labels(必须) |
list of type open-vocab |
此属性是一个开放词汇表,它指定此报告的主要主题。 这是一个开放的词汇表,值应来自report-label-ov词汇表。 |
| name(必须) |
string |
用于标识报告的名称。 |
| description(可选) |
string |
提供有关该报告的更多详细信息和上下文的描述,可能包括其目的和关键特征。 |
| published(必须) |
timestamp |
此报告的创建者正式发布此Report对象的日期。 发布日期(公共发行,法律发行等)可能与报表创建或内部共享的日期(创建的属性中的日期)不同。 |
| object_refs(必须) |
list of type identifier |
指定此报告引用的STIX对象。 |
9.2 关系
除了那些定义为公共关系的对象之外,在Report对象和其他对象之间没有明确定义的关系。 第一部分按属性名称列出嵌入的关系及其对应的目标。
关系不限于下面列出的那些。 可以使用“related-to”关系类型,或与用户定义的名称一样,在任何对象之间创建关系。
| 嵌入关系 |
|||
| created_by_ref |
identifier (of type identity ) |
||
| object_marking_refs |
Identifier(of type marking-definition) |
||
| object_refs |
list of type identifier(of STIX Object or marking-definition type) |
||
| 公有关系 |
|||
| duplicate-of , derived-from , related-to |
|||
| 来源 |
关系类型 |
目标 |
描述 |
| —— |
—— |
—— |
—— |
例子
独立报告;使用者可能已经或可能尚未访问所引用的STIX对象。
{
"type": "report",
"id": "report--84e4d88f-44ea-4bcd-bbf3-b2c1c320bcb3",
"created_by_ref": "identity--a463ffb3-1bd9-4d94-b02d-74e4f1658283",
"created": "2015-12-21T19:59:11.000Z",
"modified": "2015-12-21T19:59:11.000Z",
"name": "The Black Vine Cyberespionage Group",
"description": "A simple report with an indicator and campaign",
"published": "2016-01-20T17:00:00.000Z",
"labels": [
"campaign"
],
"object_refs": [
"indicator--26ffb872-1dd9-446e-b6f5-d58527e5b5d2",
"campaign--83422c77-904c-4dc1-aff5-5c38f3a2c55c",
"relationship--f82356ae-fe6c-437c-9c24-6b64314ae68a"
]
}
包含报告和报告引用的STIX对象的捆绑包:
{
"type": "bundle",
"id": "bundle--44af6c39-c09b-49c5-9de2-394224b04982",
"objects": [
{
"type": "identity",
"id": "identity--a463ffb3-1bd9-4d94-b02d-74e4f1658283",
"name": "Acme Cybersecurity Solutions"
},
{
"type": "report",
"id": "report--84e4d88f-44ea-4bcd-bbf3-b2c1c320bcbd",
"created_by_ref": "identity--a463ffb3-1bd9-4d94-b02d-74e4f1658283",
"created": "2015-12-21T19:59:11.000Z",
"modified": "2016-05-21T19:59:11.000Z",
"name": "The Black Vine Cyberespionage Group",
"description": "A simple report with an indicator and campaign",
"published": "2016-01-201T17:00:00Z",
"labels": [
"campaign"
],
"object_refs": [
"indicator--26ffb872-1dd9-446e-b6f5-d58527e5b5d2",
"campaign--83422c77-904c-4dc1-aff5-5c38f3a2c55c",
"relationship--f82356ae-fe6c-437c-9c24-6b64314ae68a"
]
},
{
"type": "indicator",
"id": "indicator--26ffb872-1dd9-446e-b6f5-d58527e5b5d2",
"created": "2015-12-21T19:59:17.000Z",
"modified": "2016-05-21T19:59:17.000Z",
"name": "Some indicator",
"labels": [
"malicious-activity"
],
"pattern": "[ file:hashes.MD5 = '3773a88f65a5e780c8dff9cdc3a056f3' ]",
"valid_from": "2015-12-21T19:59:17Z",
"created_by_ref": "identity--a463ffb3-1bd9-4d94-b02d-74e4f1658283"
},
{
"type": "campaign",
"id": "campaign--83422c77-904c-4dc1-aff5-5c38f3a2c55c",
"created_by_ref": "identity--a463ffb3-1bd9-4d94-b02d-74e4f1658283",
"created": "2015-12-21T19:59:17.000Z",
"modified": "2016-05-21T19:59:17.000Z",
"name": "Some Campaign"
},
{
"type": "relationship",
"id": "relationship--f82356ae-fe6c-437c-9c24-6b64314ae68a",
"created_by_ref": "identity--a463ffb3-1bd9-4d94-b02d-74e4f1658283",
"created": "2015-12-21T19:59:17.000Z",
"modified": "2015-12-21T19:59:17.000Z",
"source_ref": "indicator--26ffb872-1dd9-446e-b6f5-d58527e5b5d2",
"target_ref": "campaign--26ffb872-1dd9-446e-b6f5-d58527e5b5d2",
"relationship_type": "indicates"
}
]
}
10. 威胁行为体(Threat Actor)
威胁行为体是被认为具有恶意意图的实际个人,团体或组织。 威胁角色不是入侵集,但随着时间的推移可能会支持或隶属于各种入侵集,团体或组织。
威胁行为体利用其资源(可能还有入侵集的资源)进行攻击并针对目标进行攻击活动。
威胁行为体的特征可以是他们的动机,能力,目标,复杂程度,过去的活动,他们可以使用的资源以及他们在组织中的角色。
10.1属性
| 公共属性 |
||
| type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
| 威胁行为体特定属性 |
||
| name, description, aliases, roles, goals, sophistication, resource_level, primary_motivation, secondary_motivations, personal_motivations |
||
| 属性名 |
类型 |
描述 |
| type(必须) |
string |
属性字段的值必须为威胁行为体(threat-actor) |
| labels(必须) |
list of type open-vocab |
此属性指定威胁行为体的类型。 这是一个开放的词汇表,值应来自“threat-actor-label-ov”词汇表。 |
| name(必须) |
string |
用于标识此威胁行为体或威胁行为体组织的名称。 |
| description(可选) |
string |
提供有关该威胁行为体的更多详细信息和上下文的描述,可能包括其目的和关键特征。 |
| aliases(可选) |
list of type string |
该威胁行为体使用的其他名称列表。 |
| roles(可选) |
list of type open-vocab |
威胁行为体的角色列表。 这是一个开放式词汇,其值应来自于threat-actor-role-ov词汇。 |
| goals(可选) |
list of type string |
此威胁行为体的高层目标,即他们想做什么。 例如,他们可能是出于个人利益的动机,但是他们的目标是窃取信用卡号码。 为此,他们可以执行特定的攻击活动,这些攻击活动的目标很明确,例如损害大型零售商的销售点系统。 |
| sophistication(可选) |
open-vocab |
威胁行为体执行攻击必须具备的技能,特定知识,特殊培训或专业知识。 这是一个开放的词汇表,其值应该来自于threat-actor-sophistication-ov词汇表。 |
| resource_level(可选) |
open-vocab |
这定义了该威胁行为体通常工作的组织级别,进而确定了该Threat Actor可用于攻击的资源。 此属性链接到复杂性属性-特定资源级别意味着威胁行为体至少可以访问特定的复杂性级别。 这是一个开放的词汇表,值应该来自attack-resource-level-ov词汇表。 |
| primary_motivation(可选) |
open-vocab |
此威胁行为体背后的主要原因,动机或目的。 动机是为什么威胁行为体希望实现目标(他们正在尝试实现的目标)。 例如,以破坏一个国家的金融部门为目标的威胁行为体可能是受到对资本主义的意识形态仇恨的驱使。 这是一个开放的词汇表,价值观应该来自attack-motivation-ov词汇表。 |
| secondary_motivations(可选) |
list of type open-vocab |
该威胁行为体背后的次要原因,动机或目的。 这些动机可以作为主要动机的相等或近似相等的原因而存在。 但是,它不能代替或必然放大主要动机,但可能表示其他上下文。 这是一个开放的词汇表,其值应该来自 attack-motivation-ov词汇表。 |
| personal_motivations(可选) |
list of type open-vocab |
威胁行为体的个人原因,动机或目的,与组织目标无关。 与组织目标无关的个人动机描述了促使个人进行攻击的动力。个人积极性可能与组织的积极性相吻合(这在激进主义者中很常见),但更多时候它可以支持个人目标。例如,单个分析师可能会加入Data Miner公司,因为他或她的技能可能与公司的目标保持一致。但是,分析师很可能以薪水的形式朝着那些目标进行日常工作,以获得个人奖励。对于实施非法行为的威胁行为体而言,个人奖励的动机甚至会更大,因为纯粹出于利他原因,越难越过这一界限。 这是一个开放的词汇表,其值应该来自attack-motivation-ov词汇表。 |
10.2关系
这些是威胁行为体对象和其他对象之间明确定义的关系。 第一部分按属性名称列出嵌入的关系及其对应的目标。 该表的其余部分通过“关系”对象来标识可以从“威胁行为体”对象建立的关系。 为方便起见,包括了反向关系(与“威胁行为体”对象的关系)。 对于它们的定义,请参见它们代表“from”关系的对象。
关系不限于下面列出的那些。 可以使用“related-to”关系类型,或与用户定义的名称一样,在任何对象之间创建关系。
| 嵌入关系 |
|||
| created_by_ref |
identifier (of type identity ) |
||
| object_marking_refs |
Identifier(of type marking-definition) |
||
| 公有关系 |
|||
| duplicate-of , derived-from , related-to |
|||
| 来源 |
关系类型 |
目标 |
描述 |
| threat-actor |
attributed-to |
identity |
这种关系描述了威胁行为体的真实身份是相关身份。 例如,从jay-sm17h威胁行为体到John Smith身份的归因关系表示,被称为jay-sm17h的威胁行为体是John Smith。 |
| threat-actor |
impersonates |
identity |
此关系描述了威胁行为体冒名顶替了相关的身份。 例如,从gh0st威胁行为体到ACME Corp.的冒名顶替关系是指被称为gh0st的威胁行为体冒充ACME公司身份。 |
| threat-actor |
targets |
identity, vulnerability |
这种关系描述了威胁行为体使用相关漏洞的漏洞利用或针对相关身份描述的受害者类型。 例如,从jay-sm17h威胁行为体到博客平台中的漏洞的目标关系表明,John Smith进行的攻击经常利用该漏洞。 同样,从jay-sm17h威胁行为体到描述美国能源部门的身份的目标关系意味着约翰·史密斯经常对该部门的目标进行攻击。 |
| threat-actor |
uses |
attack-pattern , malware , tool |
此关系描述了作为Threat Actor一部分进行的攻击通常使用相关的攻击模式,恶意软件或工具。 例如,从jay-sm17h威胁行为体到xInject恶意软件的使用关系表明John Smith经常使用xInject。 |
| 反向关系 |
|||
| campaign , intrusion-set |
attributed-to |
threat-actor |
有关定义,请参见前向关系。 |
| indicator |
indicates |
threat-actor |
有关定义,请参见前向关系。 |
例子
{
"type": "threat-actor",
"id": "threat-actor--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:03:48.000Z",
"modified": "2016-04-06T20:03:48.000Z",
"labels": [
"crime-syndicate"
],
"name": "Evil Org",
"description": "The Evil Org threat actor group",
"aliases": [
"Syndicate 1",
"Evil Syndicate 99"
],
"roles": "director",
"goals": [
"Steal bank money",
"Steal credit cards"
],
"sophistication": "advanced",
"resource_level": "team",
"primary_motivation": "organizational-gain"
}
11. 工具(Tool)
Type Name:tool
工具是威胁行为体可以用来执行攻击的合法软件。了解威胁行为体如何以及何时使用此类工具对于了解如何执行攻击活动很重要。与恶意软件不同,这些工具或软件包通常能在系统上找到,并且对于高级用户,系统管理员,网络管理员甚至普通用户具有合法目的。远程访问工具(例如RDP)和网络扫描工具(例如Nmap)是威胁行为体在攻击过程中可能使用的工具的示例。
工具SDO描述了这些软件工具的特性,并可作为判断威胁行为体在攻击期间如何使用这些工具的基础。它包含命名和描述工具的属性、工具可用于执行的杀伤链阶段的列表以及工具的版本。
不得使用此SDO来表征恶意软件。此外,“工具”绝不能用来表征作为对处置方法做出反应的一部分的工具。响应活动期间使用的工具可以直接包含在“处置方法” SDO中。
11.1属性
| 公共属性 |
||
| type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
| 工具特定属性 |
||
| name, description, kill_chain_phases, tool_version |
||
| 属性名 |
类型 |
描述 |
| type(必须) |
string |
属性字段的值必须为工具(tool) |
| labels(必须) |
list of type open-vocab |
所描述的工具类型。 这是一个开放的词汇表,值应该来自tool-label-ov词汇表。 |
| name(必须) |
string |
用于标识工具的名称。 |
| description(可选) |
string |
提供有关该工具的更多详细信息和上下文的描述,可能包括其目的和关键特征。 |
| kill_chain_phases(可选) |
list of type kill-chain-phase |
可以使用此工具的杀伤链阶段的列表。 |
| tool_version(可选) |
string |
与工具关联的版本标识符。 |
11.2 关系
这些是在工具对象和其他对象之间明确定义的关系。 第一部分按属性名称列出嵌入的关系及其对应的目标。 该表的其余部分标识了可以通过“关系”对象从“工具”对象建立的关系。 为了方便起见,包括了反向关系(“到”工具对象的关系)。 对于它们的定义,请参见它们代表“from”关系的对象。
关系不限于下面列出的那些。 可以使用“related-to”关系类型,或与用户定义的名称一样,在任何对象之间创建关系。
| 嵌入关系 |
|||
| created_by_ref |
identifier (of type identity ) |
||
| object_marking_refs |
Identifier(of type marking-definition) |
||
| 公有关系 |
|||
| duplicate-of , derived-from , related-to |
|||
| 来源 |
关系类型 |
目标 |
描述 |
| tool |
targets |
identity , vulnerability |
此关系记录此工具正被用于针对此身份或利用此漏洞。 例如,如果目标关系将漏洞利用工具链接到CVE-2016-0001的漏洞,则意味着该工具利用了该漏洞。 同样,将DDoS工具链接到代表能源部门的身份的目标关系意味着该工具通常把能源部门中作为目标。 |
| 反向关系 |
|||
| indicator |
indicates |
tool |
有关定义,请参见前向关系。 |
| course-of-action |
mitigates |
tool |
有关定义,请参见前向关系。 |
| attack-pattern , campaign , intrusion-set , malware , threat-actor |
uses |
tool |
有关定义,请参见前向关系。 |
例子
{
"type": "tool",
"id": "tool--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:03:48.000Z",
"modified": "2016-04-06T20:03:48.000Z",
"labels": [
"remote-access"
],
"name": "VNC"
}
12. 漏洞(Vulnerability)
Type Name: vulnerability
漏洞是“软件中的错误,黑客可以直接使用该错误来访问系统或网络” [CVE]。 例如,如果一块恶意软件利用CVE2015-12345,则恶意软件对象可以链接到引用CVE-2015-12345的漏洞对象。
漏洞SDO主要用于链接到漏洞的外部定义或描述还没有外部定义的0day漏洞。 通常,当针对特定漏洞并将其作为恶意网络活动的一部分加以利用时,其他SDO会声明与漏洞对象的关系。因此,可以将漏洞对象用作与资产管理和遵从流程的链接。
12.1 属性
| 公共属性 |
||
| type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
| 漏洞特定属性 |
||
| name, description |
||
| 属性名 |
类型 |
描述 |
| type(必须) |
string |
属性字段的值必须为工具(tool) |
| external_references(可选) |
list of type external-referenc |
引用非STIX信息的外部引用列表。 该属性可以用于提供一个或多个漏洞标识符,例如CVE ID [CVE]。 当指定CVE ID时,外部引用的source_name属性必须设置为cve,而external_id属性必须是确切的CVE标识符。 |
| name(必须) |
string |
用于标识漏洞的名称。 |
| description(可选) |
string |
提供有关该漏洞的更多详细信息和上下文的描述,可能包括其目的和关键特征。 |
12.2 关系
这些是漏洞对象和其他对象之间明确定义的关系。 第一部分按属性名称列出嵌入的关系及其对应的目标。 该表的其余部分通过“关系”对象来标识可以从“漏洞”对象建立的关系。 没有为漏洞对象定义任何内容。 为方便起见,包括了反向关系(与“漏洞”对象的关系)。 对于它们的定义,请参见它们代表“from”关系的对象。
关系不限于下面列出的那些。 可以使用“related-to”关系类型,或与用户定义的名称一样,在任何对象之间创建关系。
| 嵌入关系 |
|||
| created_by_ref |
identifier (of type identity ) |
||
| object_marking_refs |
Identifier(of type marking-definition) |
||
| 公有关系 |
|||
| duplicate-of , derived-from , related-to |
|||
| 来源 |
关系类型 |
目标 |
描述 |
| —— |
—— |
—— |
—— |
| 反向关系 |
|||
| attack-pattern , campaign , intrusion-set , malware , threat-actor , tool |
targets |
vulnerability |
有关定义,请参见前向关系。 |
| course-of-action |
mitigates |
vulnerability |
有关定义,请参见前向关系。 |
例子
{
"type": "vulnerability",
"id": "vulnerability--0c7b5b88-8ff7-4a4d-aa9d-feb398cd0061",
"created": "2016-05-12T08:17:27.000Z",
"modified": "2016-05-12T08:17:27.000Z",
"name": "CVE-2016-1234",
"external_references": [
{
"source_name": "cve",
"external_id": "CVE-2016-1234"
}
]
}
