官方文檔地址:點擊即可
1. 攻擊模式(Attack Pattern)
類別名稱: attack-pattern
攻擊模式是TTP的一種,描述了攻擊者試圖破壞目標的方式。攻擊模式用於幫助對攻擊進行分類,將特定攻擊概括爲其遵循的模式,並提供有關如何進行攻擊的詳細信息。攻擊模式的一個示例是“網絡釣魚”:一種常見的攻擊類型,其中,攻擊者向一方發送精心製作的電子郵件,目的是使他們單擊鏈接或打開附件來分發惡意軟件。攻擊模式也可以更具體。按照特定威脅行爲體的做法進行網絡釣魚(例如,他們通常會說目標贏得了比賽)也可以是攻擊模式。
攻擊模式SDO包含該模式的文本描述,以及對外部定義的攻擊分類法(例如CAPEC [CAPEC])的引用。來自攻擊模式的關係可用於將其與目標對象(漏洞和身份)以及使用它的工具和惡意軟件(工具和惡意軟件)相關聯。
1.1 屬性
公共屬性 |
||
type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
攻擊模式特定屬性 |
||
name, description, kill_chain_phases |
||
屬性名 |
類型 |
描述 |
type(必須) |
string |
屬性字段的值必須爲攻擊模式 |
external_references (可選) |
list |
引用非STIX信息的外部引用列表。 該屬性可以用來提供一個或多個攻擊模式標識符,例如CAPEC ID。 指定CAPEC ID時,外部引用的source_name屬性必須設置爲capec,而external_id屬性必須格式爲CAPEC- [id] |
name (必須) |
string |
用於標識攻擊模式的名稱 |
description(描述) |
string |
提供了有關攻擊模式的更多詳細信息和上下文的描述,可能包括其目的和關鍵特徵。 |
kill_chain_phases(可選) |
list |
使用此攻擊模式的殺傷鏈階段的列表。 |
1.2 關係
這些是“攻擊模式”對象與其他SDO之間明確定義的關係。 第一部分按屬性名稱列出嵌入的關係及其對應的目標。 該表的其餘部分通過“關係”對象來標識可以從“攻擊模式”對象建立的關係。 爲了方便起見,包括了反向關係(與“攻擊模式”對象的關係)。 對於它們的定義,請參見它們代表“from”關係的對象。
關係不限於下面列出的那些。 可以使用related-to關係類型或與用戶定義的名稱(如開放式詞彙)在任何SDO之間創建關係對象。
嵌入關係 |
|||
created_by_ref |
identifier (of type identity ) |
||
object_marking_refs |
Identifier(of type marking-definition) |
||
公有關係 |
|||
duplicate-of , derived-from , related-to |
|||
來源 |
關係類型 |
目標 |
描述 |
attack-pattern |
targets |
identity , vulnerability |
此關係描述此攻擊模式通常針對的是由相關身份或漏洞對象表示的受害者或漏洞的類型。
例如,目標關係將用於SQL注入的攻擊模式鏈接到代表域管理員的Identity對象,這意味着以攻擊模式爲特徵的SQL注入形式以域管理員爲目標,以實現其目標。
另一個示例是一種將SQL注入的攻擊模式與博客軟件中的漏洞相關聯的關係,這意味着特定的SQL注入攻擊會利用該漏洞。 |
attack-pattern
|
uses |
malware , tool |
此關係描述了相關的惡意軟件或工具用於執行“攻擊模式”中定義的行爲。
例如,使用關聯關係將用於分佈式拒絕服務(DDoS)的攻擊模式鏈接到低軌離子加農炮工具(LOIC)的使用關係表明該工具可用於執行那些DDoS攻擊。 |
反向關係 |
|||
indicator |
indicates |
attack-pattern |
有關定義,請參見前向關係。 |
course-of-action |
mitigates |
attack-pattern |
有關定義,請參見前向關係。 |
campaign , intrusion-set , threat-actor |
uses |
attack-pattern |
有關定義,請參見前向關係。 |
例子:
網絡釣魚的通用攻擊模式,參考CAPEC。
{
"type": "attack-pattern",
"id": "attack-pattern--0c7b5b88-8ff7-4a4d-aa9d-feb398cd0061",
"created": "2016-05-12T08:17:27.000Z",
"modified": "2016-05-12T08:17:27.000Z",
"name": "Spear Phishing",
"description": "...",
"external_references": [
{
"source_name": "capec",
"external_id": "CAPEC-163"
}
]
}
針對特定形式的網絡釣魚的特定攻擊方式,請參考CAPEC
[
{
"type": "attack-pattern",
"id": "attack-pattern--7e33a43e-e34b-40ec-89da-36c9bb2cacd5",
"created": "2016-05-12T08:17:27.000Z",
"modified": "2016-05-12T08:17:27.000Z",
"name": "Spear Phishing as Practiced by Adversary X",
"description": "A particular form of spear phishing where the attacker claims that the target had won a contest, including personal details, to get them to click on a link.",
"external_references": [
{
"source_name": "capec",
"id": "CAPEC-163"
}
]
},
{
"type": "relationship",
"id": "relationship--57b56a43-b8b0-4cba-9deb-34e3e1faed9e",
"created": "2016-05-12T08:17:27.000Z",
"modified": "2016-05-12T08:17:27.000Z",
"relationship_type": "uses",
"source_ref": "intrusion-set--0c7e22ad-b099-4dc3-b0df-2ea3f49ae2e6",
"target_ref": "attack-pattern--7e33a43e-e34b-40ec-89da-36c9bb2cacd5"
},
{
"type": "intrusion-set",
"id": "intrusion-set--0c7e22ad-b099-4dc3-b0df-2ea3f49ae2e6",
"created": "2016-05-12T08:17:27.000Z",
"modified": "2016-05-12T08:17:27.000Z",
"name": "Adversary X"
}
]
2. 攻擊活動(Campaign)
Type Name: Campaign
攻擊活動是一組對抗行爲,描述了一段時間內針對一組特定目標發生的一系列惡意活動或攻擊(有時稱爲波動)。 運動通常具有明確的目標,並且可能是“入侵集”的一部分。
攻擊活動通常歸屬於入侵集和威脅行爲體。 威脅行爲體可以重用入侵集中的已知基礎設施,也可以建立特定於進行該活動的新基礎設施。
攻擊活動可以通過其目標,所引起的事件,所針對的人員或資源以及所使用的資源(基礎設施,情報,惡意軟件,工具等)來表徵。
例如,一項攻擊活動可以用來描述犯罪集團在2016年夏季使用特定種類的惡意軟件和新的C2服務器對ACME銀行高管的攻擊,以獲取有關即將與另一家銀行合併的祕密信息。
2.1 屬性
公共屬性 |
||
type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
攻擊活動特定屬性 |
||
name, description, aliases, first_seen, last_seen, objective |
||
屬性名 |
類型 |
描述 |
type(必須) |
string |
屬性字段的值必須爲攻擊活動(Campaign) |
name (必須) |
string |
用於標識攻擊活動的名稱 |
description(描述) |
string |
提供了有關攻擊活動的更多詳細信息和上下文的描述,可能包括其目的和關鍵特徵。 |
aliases(可選) |
list of type string |
用於標識此攻擊活動的備用名稱 |
first_seen(可選) |
timestamp |
該攻擊活動首次出現的時間。
此屬性是目擊數據和STIX中可能提供或不提供的其他數據的摘要屬性。 如果收到比第一次看到的時間戳早的新觀測結果,則可以更新對象以說明新數據。 |
last_seen(可選) |
timestamp |
該活動最後一次出現的時間。
此屬性是目擊數據和STIX中可能提供或不提供的其他數據的摘要屬性。 如果收到的最新觀測結果晚於上次看到的時間戳,則可以更新對象以說明新數據。 |
objective(可選) |
string |
此屬性定義了攻擊活動的主要目標,目的,預期結果或預期效果-威脅行爲體希望通過此攻擊活動實現的目標。 |
2.2 關係
這些是Campaign對象和其他對象之間明確定義的關係。 第一部分按屬性名稱列出嵌入的關係及其對應的目標。 該表的其餘部分標識可以通過“關係”對象從Campaign對象建立的關係。 爲了方便起見,包括了反向關係(“與” Campaign對象的關係)。 對於它們的定義,請參見它們代表“from”關係的對象。
關係不限於下面列出的那些。 可以使用related-to關係類型,或與用戶定義的名稱一樣,在任何對象之間創建關係。
嵌入關係 |
|||
created_by_ref |
identifier (of type identity ) |
||
object_marking_refs |
Identifier(of type marking-definition) |
||
公有關係 |
|||
duplicate-of , derived-from , related-to |
|||
來源 |
關係類型 |
目標 |
描述 |
campaign |
attributed-to |
intrusion-set , threat-actor |
此關係描述了執行活動所涉及的入侵集或威脅行爲體。
例如,從“Glass Gazelle攻擊活動”到“Urban Fowl威脅行爲體”的歸屬關係是指該威脅行爲體進行或參與了該攻擊活動描述的某些攻擊活動。 |
campaign
|
targets |
identity , vulnerability |
這種關係描述了該活動使用了相關漏洞的漏洞利用或針對相關身份所描述的受害者類型。
例如,從Glass Gazelle攻擊活動到博客平臺中的漏洞的目標關係表明,作爲Glass Gazelle的一部分進行的攻擊經常利用該漏洞。
同樣,從Glass Gazelle攻擊活動到描述美國能源部門的身份的目標關係意味着該運動通常會對該部門的目標進行攻擊。 |
campaign |
uses |
attack-pattern , malware, tool |
此關係描述了作爲攻擊活動一部分進行的攻擊通常使用相關的攻擊模式,惡意軟件或工具。
例如,從Glass Gazelle攻擊活動到xInject惡意軟件的使用關係表明,攻擊活動的攻擊期間經常使用xInject。 |
反向關係 |
|||
indicator |
indicates |
campaign |
有關定義,請參見前向關係。 |
例子:
{
"type": "campaign",
"id": "campaign--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:03:00.000Z",
"modified": "2016-04-06T20:03:00.000Z",
"name": "Green Group Attacks Against Finance",
"description": "Campaign by Green Group against a series of targets in the financial services sector."
}
3. 處置方法(Course of Action)
Type Name: Course of Action
處置方法是指爲防止攻擊或對正在進行的攻擊做出反應而採取的措施。 它可能描述了技術性的,可自動化的響應(應用補丁,重新配置防火牆),但也可能描述了更高級別的操作,例如員工培訓或政策變更。 例如,緩解漏洞的措施可以描述應用修補此漏洞的補丁。
處置方法SDO包含對行動的文字描述; 保留的動作屬性還可以用作佔位符,以便將來包含機器可自動執行的動作過程。 處置方法中的關係可用於將其與緩解的漏洞或行爲(工具,惡意軟件,攻擊模式)相關聯。
3.1 屬性
公共屬性 |
||
type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
處置方法特定屬性 |
||
name, description, action |
||
屬性名 |
類型 |
描述 |
type(必須) |
string |
屬性字段的值必須爲處置方法(course-of-action) |
name (必須) |
string |
用於標識處置方法的名稱 |
description(可選) |
string |
提供了有關處置方法的更多詳細信息和上下文的描述,可能包括其目的和關鍵特徵。 |
action(保留的) |
RESERVE已預留 |
保留–捕獲結構化/自動化的處置方法。 |
3.2 關係
這些是“處置方法”對象和其他對象之間明確定義的關係。第一部分按屬性名稱列出嵌入的關係及其對應的目標。 該表的其餘部分標識了可以通過“關係”對象從“處置方法”對象建立的關係。 爲方便起見,包括了反向關係(與“處置方法”對象的關係)。 對於它們的定義,請參見它們代表“from關係不限於下面列出的那些。
可以使用“關聯到”關係類型,可以使用related-to關係類型,或與用戶定義的名稱一樣,在任何對象之間創建關係。
嵌入關係 |
|||
created_by_ref |
identifier (of type identity ) |
||
object_marking_refs |
Identifier(of type marking-definition) |
||
公有關係 |
|||
duplicate-of , derived-from , related-to |
|||
來源 |
關係類型 |
目標 |
描述 |
course-of-action |
mitigates |
attack-pattern , malware , tool , vulnerability |
這種關係描述了“處置方法”可以緩解相關的攻擊模式,惡意軟件,漏洞或工具。
例如,從“處置方法”對象到“惡意軟件”對象的緩和關係表示該處置方法減輕了該惡意軟件的影響。 |
反向關係 |
|||
— |
— |
— |
— |
例子
[
{
"type": "course-of-action",
"id": "course-of-action--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:03:48.000Z",
"modified": "2016-04-06T20:03:48.000Z",
"name": "Add TCP port 80 Filter Rule to the existing Block UDP 1434 Filter",
"description": "This is how to add a filter rule to block inbound access to TCP port 80 to the existing UDP 1434 filter ..."
},
{
"type": "relationship",
"id": "relationship--44298a74-ba52-4f0c-87a3-1824e67d7fad",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:07:10.000Z",
"modified": "2016-04-06T20:07:10.000Z",
"relationship_type": "mitigates",
"source_ref": "course-of-action--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
"target_ref": "malware--31b940d4-6f7f-459a-80ea-9c1f17b5891b"
},
{
"type": "malware",
"id": "malware--31b940d4-6f7f-459a-80ea-9c1f17b5891b",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:07:09.000Z",
"modified": "2016-04-06T20:07:09.000Z",
"name": "Poison Ivy"
}
]
4. 身份(Identity)
Type Name: identity
身份可以代表實際的個人,組織或團體(例如ACME,Inc.),也可以代表個人,組織或團體的類別(例如金融部門)。
身份SDO可以捕獲基本標識信息,聯繫信息以及身份所屬的部門。 身份在STIX中用於表示攻擊,信息源,對象創建者和威脅行爲體身份的目標。
4.1 屬性
公共屬性 |
||
type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
身份特定屬性 |
||
name, description, identity_class, sectors, contact_information |
||
屬性名 |
類型 |
描述 |
type(必須) |
string |
屬性字段的值必須爲身份(identity) |
name (必須) |
string |
此身份的名稱。 當引用特定實體(例如,個人或組織)時,此屬性應包含特定實體的規範名稱。 |
labels(可選) |
list of type string |
此身份執行的角色列表(例如,CEO,域管理員,醫生,醫院或零售商)。 尚未爲此屬性定義任何開放式詞彙。 |
description(可選) |
string |
提供有關身份的更多詳細信息和上下文的描述,可能包括其目的和關鍵特徵。 |
identity_class(必須) |
open-vocab |
此身份描述的實體的類型,例如個人或組織。
這是一個開放的詞彙表,值應來自identity-class-ov詞彙表。 |
sectors(可選) |
list of type open-vocab |
此標識所屬的行業部門列表。
這是一個開放的詞彙表,其值應該來自industry-sector-ov詞彙表 |
contact_information(可選) |
string |
此身份的聯繫信息(電子郵件,電話號碼等)。 本規範當前未定義此信息的格式。 |
4.2 關係
從公用屬性繼承的所有STIX對象(稱爲created_by_ref)都與身份存在嵌入式關係。此屬性將每個對象與創建該對象的組織或個人的身份相關聯。
這些是在Identity對象和其他對象之間明確定義的關係。第一部分按屬性名稱列出嵌入的關係及其對應的目標。該表的其餘部分標識可以通過Identity對象從Identity對象建立的關係。沒有爲Identity對象定義任何內容。爲方便起見,包括了反向關係(“到” Identity對象的關係)。對於它們的定義,請參見它們代表“from”關係的對象。
關係不限於下面列出的那些。可以使用“related-to”關係類型,或與用戶定義的名稱一樣,在任何對象之間創建關係。
嵌入關係 |
|||
created_by_ref |
identifier (of type identity ) |
||
object_marking_refs |
Identifier(of type marking-definition) |
||
公有關係 |
|||
duplicate-of , derived-from , related-to |
|||
來源 |
關係類型 |
目標 |
描述 |
— |
— |
— |
— |
反向關係 |
|||
attack-pattern , campaign, intrusion-set , malware , threat-actor , tool |
targets |
identity |
有關定義,請參見前向關係 |
threat-actor |
attributed-to , impersonates |
identity |
有關定義,請參見前向關係 |
例子
1.名爲John Smith的個人的身份:
{
"type": "identity",
"id": "identity--023d105b-752e-4e3c-941c-7d3f3cb15e9e",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:03:00.000Z",
"modified": "2016-04-06T20:03:00.000Z",
"name": "John Smith",
"identity_class": "individual"
}
- 名爲ACME Widget公司的身份
{
"type": "identity",
"id": "identity--e5f1b90a-d9b6-40ab-81a9-8a29df4b6b65",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:03:00.000Z",
"modified": "2016-04-06T20:03:00.000Z",
"name": "ACME Widget,Inc.",
"identity_class": "organization"
}
5. 威脅指標(Indicator)
Type Name: Indicator
威脅指標包含可用於檢測可疑或惡意網絡活動的模式。 例如,一個威脅指標可用於表示一組惡意域,並使用STIX模式語言(STIX™版本2.0 第5部分:STIX模式)指定這些域。
威脅指標SDO包含一個簡單的文本描述、檢測行爲的“殺傷鏈階段”、一個威脅指標有效或有用的時間窗口以及捕獲結構化檢測模式所需的模式屬性。符合標準的STIX實現必須支持STIX™2.0版中定義的STIX模式語言的第5部分:STIX模式。儘管每種結構化模式語言具有不同的語法和可能不同的語義,但通常,當在任何形式的結構化模式中指定的條件在任何上下文中均得到滿足時,威脅指標就被視爲“匹配”(或被“觀察到”)。
威脅指標中的關係可以描述其直接檢測到的惡意或可疑行爲(惡意軟件,工具和攻擊模式),以及可能指示其存在的活動,入侵集和威脅行爲體。
5.1 屬性
公共屬性 |
||
type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
威脅指標特定屬性 |
||
name, description, pattern, valid_from, valid_until, kill_chain_phases |
||
屬性名 |
類型 |
描述 |
type(必須) |
string |
屬性字段的值必須爲威脅指標(indicator) |
name (可選) |
string |
用於標識威脅指標的名稱。 |
labels(必須) |
list of type open-vocab |
此屬性是一個開放詞彙表,用於指定指標的類型。
這是一個開放的詞彙表,值應該來自於indicator-label-ov詞彙表。 |
description(可選) |
string |
提供有關威脅指標的更多詳細信息和上下文的描述,可能包括其目的和關鍵特徵。 |
pattern(必須) |
string |
此指示器的檢測模式是STIX™2.0版中指定的STIX模式的第5部分:STIX模式。 |
valid_from(必須) |
timestamp |
該威脅指標應被視爲有價值的情報的時間。 |
valid_until(可選) |
timestamp |
不再應將此威脅指標視爲寶貴的情報。
如果省略了valid_until屬性,則對使用威脅指標的最新時間沒有任何限制。 |
kill_chain_phases(可選) |
list of type kill-chain-phase |
該威脅指標對應的殺傷鏈階段。 |
5.2 關係
這些是指標對象和其他對象之間明確定義的關係。 第一部分按屬性名稱列出嵌入的關係及其對應的目標。 該表的其餘部分標識可以通過“關係”對象從“威脅指標”對象建立的關係。 爲了方便起見,包括了反向關係(與“威脅指標”對象的關係)。 對於它們的定義,請參見它們代表“from”關係的對象。
關係不限於下面列出的那些。 可以使用“related-to”關係類型,或與用戶定義的名稱一樣,在任何對象之間創建關係。
嵌入關係 |
|||
created_by_ref |
identifier (of type identity ) |
||
object_marking_refs |
Identifier(of type marking-definition) |
||
公有關係 |
|||
duplicate-of , derived-from , related-to |
|||
來源 |
關係類型 |
目標 |
描述 |
indicator |
indicates |
attack-pattern , campaign, intrusion-set, malware , threat-actor , tool |
這種關係描述了威脅指標可以檢測到有關攻擊活動,入侵集或威脅行爲體的證據。該證據可能不是直接的:例如,指標可能檢測到該活動的次要證據,例如該活動通常使用的惡意軟件或行爲。
例如,一個從威脅指標到代表Glass Gazelle的Campaign對象的關係表示威脅指標能夠檢測Glass Gazelle的證據,例如該Campaign常用的命令和控制IP |
反向關係 |
|||
— |
— |
— |
— |
例子
威脅指標本身,具有背景
[
{
"type": "indicator",
"id": "indicator--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:03:48.000Z",
"modified": "2016-04-06T20:03:48.000Z",
"labels": [
"malicious-activity"
],
"name": "Poison Ivy Malware",
"description": "This file is part of Poison Ivy",
"pattern":"[file:hashes.'SHA-256'= '4bac27393bdd9777ce02453256c5577cd02275510b2227f473d03f533924f877' ]",
"valid_from": "2016-01-01T00:00:00Z"
},
{
"type": "relationship",
"id": "relationship--44298a74-ba52-4f0c-87a3-1824e67d7fad",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:06:37.000Z",
"modified": "2016-04-06T20:06:37.000Z",
"relationship_type": "indicates",
"source_ref": "indicator--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
"target_ref": "malware--31b940d4-6f7f-459a-80ea-9c1f17b5891b"
},
{
"type": "malware",
"id": "malware--31b940d4-6f7f-459a-80ea-9c1f17b5891b",
"created": "2016-04-06T20:07:09.000Z",
"modified": "2016-04-06T20:07:09.000Z",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"name": "Poison Ivy"
}
]
6. 入侵集(Intrusion Set)
Type Name: Intrusion Set
入侵集是一組具有共同屬性的對抗行爲和資源,被認爲是由單個組織精心策劃的。入侵集可以捕獲多個攻擊活動或其他活動,這些攻擊活動或其他活動都通過共享屬性捆綁在一起,這些屬性指示一個共同的已知或未知威脅行爲體。即使不知道攻擊背後的威脅行爲體,也可以將新活動歸因於入侵集。威脅行爲體可以從支持一個入侵集遷移到支持另一個入侵集,也可以支持多個入侵集。
如果攻擊活動是針對特定目標組在一段時間內進行的一系列攻擊以實現某個目標,則入侵集是整個攻擊包,並且可能在很長一段時間內用於多個攻擊活動中以實現潛在的多重攻擊目的。
儘管有時入侵集未處於活動狀態或更改了焦點,但通常很難知道入侵集是否確實消失或結束。在將入侵集歸還給威脅行爲體方面,分析師可能具有不同的忠誠度,並且可能僅能將歸因歸於某個民族國家或該民族國家內的組織。
6.1 屬性
公共屬性 |
||
type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
入侵集特定屬性 |
||
name, description, aliases, first_seen, last_seen, goals, resource_level, primary_motivation, secondary_motivations |
||
屬性名 |
類型 |
描述 |
type(必須) |
string |
屬性字段的值必須爲入侵集(intrusion-set) |
name (可選) |
string |
用於標識入侵集的名稱。 |
description(可選) |
string |
提供有關入侵集的更多詳細信息和上下文的描述,可能包括其目的和關鍵特徵。 |
aliases(可選) |
list of type string |
用於標識此入侵集的備用名稱。 |
first_seen(可選) |
timestamp |
首次看到此入侵集的時間。
此屬性是目擊數據和STIX中可能提供或不提供的其他數據的摘要屬性。 如果收到比第一次看到的時間戳早的新觀測結果,則可以更新對象以說明新數據。 |
last_seen(可選) |
timestamp |
上次看到此入侵集的時間。
此屬性是目擊數據和STIX中可能提供或不提供的其他數據的摘要屬性。 如果收到的最新觀測結果晚於上次看到的時間戳,則可以更新對象以說明新數據。 |
goals(可選) |
list of type string |
此入侵集的高級目標,即他們要做什麼。 例如,他們可能是出於個人利益的動機,但是他們的目標是竊取信用卡號碼。 爲此,他們可以執行特定的攻擊活動,這些攻擊活動的目標很明確,例如損害大型零售商的銷售點系統。
另一個示例:從ACME銀行獲取有關最新合併和IPO信息的信息。 |
resource_level(可選) |
open-vocab |
這定義了該入侵集通常工作的組織級別,進而確定了該入侵集可用於攻擊的資源。
這是一個開放的詞彙表,值應該來自attack-resource-level-ov詞彙表。 |
primary_motivation(可選) |
open-vocab |
入侵集背後的主要原因,動機或目的。 動機是入侵集希望實現目標(他們試圖實現的目標)的原因。
例如,旨在破壞一個國家金融部門的入侵集可能是由對資本主義的意識形態仇恨所激發的。
這是一個開放式詞彙,其值應該來自attack-motivation-ov詞彙表 |
secondary_motivations(可選) |
list of type open-vocab |
此入侵集背後的次要原因,動機或目的。 |
6.2 關係
這些是入侵集對象和其他對象之間明確定義的關係。 第一部分按屬性名稱列出嵌入的關係及其對應的目標。 該表的其餘部分通過“關係”對象來標識可以從“入侵集”對象建立的關係。 爲方便起見,包括了反向關係(與“入侵集”對象的關係)。 對於它們的定義,請參見它們代表“from”關係的對象。
關係不限於下面列出的那些。 可以使用“related-to”關係類型,或與用戶定義的名稱一樣,在任何對象之間創建關係。
嵌入關係 |
|||
created_by_ref |
identifier (of type identity ) |
||
object_marking_refs |
Identifier(of type marking-definition) |
||
公有關係 |
|||
duplicate-of , derived-from , related-to |
|||
來源 |
關係類型 |
目標 |
描述 |
intrusion-set |
attributed-to |
threat-actor |
此關係描述了相關的威脅行爲體參與執行入侵集。
例如,從Red Orca入侵集到Urban Fowl威脅行爲體的歸屬關係表示該威脅行爲體執行或參與了入侵集描述的某些活動。 |
intrusion-set |
targets |
identity, vulnerability |
此關係描述了入侵集使用相關漏洞的利用或針對相關身份所描述的受害者的類型。
例如,在博客平臺中從Red Orca入侵集到漏洞的目標關係表明,作爲Red Orca的一部分進行的攻擊經常利用該漏洞。
同樣,從Red Orca入侵集到描述美國能源部門的身份的目標關係意味着,入侵集通常會對該部門中的目標進行攻擊。 |
intrusion-set |
uses |
attack-pattern , malware , tool |
此關係描述了作爲入侵集的一部分進行的攻擊通常使用相關的攻擊模式,惡意軟件或工具。
例如,從Red Orca入侵集到xInject惡意軟件的使用關係表明,該入侵集的攻擊期間經常使用xInject。 |
反向關係 |
|||
campaign |
attributed-to |
intrusion-set |
有關定義,請參見前向關係。 |
indicator |
indicates |
intrusion-set |
有關定義,請參見前向關係。 |
例子
{
"type": "intrusion-set",
"id": "intrusion-set--4e78f46f-a023-4e5f-bc24-71b3ca22ec29",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:03:48.000Z",
"modified": "2016-04-06T20:03:48.000Z",
"name": "Bobcat Breakin",
"description": "Incidents usually feature a shared TTP of a bobcat being released within the building containing network access, scaring users to leave their computers without locking them first. Still determining where the threat actors are getting the bobcats.",
"aliases": [
"Zookeeper"
],
"goals": [
"acquisition-theft",
"harassment",
"damage"
]
}
7. 惡意軟件(Malware)
Type Name:malware
注意:STIX 2.0中的Malware對象是一個存根。它被包括在內以支持基本用例,但可能對於實際的惡意軟件分析或甚至包括簡單的惡意軟件實例數據都沒有用。 STIX 2的未來版本將對其進行擴展以包括這些功能。
惡意軟件是一種TTP,也稱爲惡意代碼和惡意軟件,是指通常以祕密方式插入到系統中的程序,旨在損害受害者的數據,應用程序或操作系統(OS)的機密性,完整性或可用性,或以其他方式使受害者惱怒或破壞。諸如病毒和蠕蟲之類的惡意軟件通常被設計爲執行這些害功能,使得用戶至少在最初沒有意思到它們。
惡意軟件SDO通過文本描述屬性對惡意軟件樣本和家族進行特徵化,識別和分類。這提供了有關惡意軟件如何工作以及其功能的詳細信息。來自惡意軟件的關係可以捕獲惡意軟件的目標(漏洞和身份),並將其鏈接到該惡意軟件的另一種惡意軟件SDO。
7.1 屬性
公共屬性 |
||
type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
惡意軟件特定屬性 |
||
name, description, kill_chain_phases |
||
屬性名 |
類型 |
描述 |
type(必須) |
string |
屬性字段的值必須爲惡意軟件(malware) |
label(必須) |
list of type open-vocab |
描述的惡意軟件類型。
這是一個開放的詞彙表,值應來自malware-label-ov詞彙表。 |
name(必須) |
string |
用於標識惡意軟件樣本的名稱。 |
description(可選) |
string |
提供有關惡意軟件的更多詳細信息和上下文的描述,可能包括其目的和關鍵特徵。 |
kill_chain_phases (可選) |
list of type kill-chain-phase |
可以使用此惡意軟件的殺傷鏈階段的列表。 |
7.2 關係
這些是惡意軟件對象與其他對象之間明確定義的關係。 第一部分按屬性名稱列出嵌入的關係及其對應的目標。 該表的其餘部分通過“關係”對象標識可以從“惡意軟件”對象建立的關係。 爲了方便起見,包括了反向關係(“與”惡意軟件對象的關係)。 對於它們的定義,請參見它們代表“from”關係的對象。
關係不限於下面列出的那些。 可以使用“related-to”關係類型,或與用戶定義的名稱一樣,在任何對象之間創建關係。
嵌入關係 |
|||
created_by_ref |
identifier (of type identity ) |
||
object_marking_refs |
Identifier(of type marking-definition) |
||
公有關係 |
|||
duplicate-of , derived-from , related-to |
|||
來源 |
關係類型 |
目標 |
描述 |
malware |
targets |
identity, vulnerability |
此關係記錄了這個惡意軟件是用來針對這個身份或利用漏洞。 例如,目標關係將代表下載程序的惡意軟件鏈接到CVE-2016-0001的漏洞,意味着該惡意軟件利用了該漏洞。
類似地,目標關係將代表下載程序的惡意軟件鏈接到代表能源部門的身份,這意味着通常針對能源領域的目標使用下載程序的惡意軟件。 |
malware |
uses |
tool |
此關係證明該惡意軟件使用相關工具來執行其功能。 |
malware |
variant-of |
malware |
此關係用於證明一個惡意軟件是另一個惡意軟件的變體。
例如,TorrentLocker是CryptoLocker的變體。 |
反向關係 |
|||
indicator |
indicates |
malware |
有關定義,請參見前向關係。 |
course-of-action |
mitigates |
malware |
有關定義,請參見前向關係。 |
attack-pattern , campaign , intrusion-set , threat-actor |
uses |
malware |
有關定義,請參見前向關係。 |
例子
{
"type": "malware",
"id": "malware--0c7b5b88-8ff7-4a4d-aa9d-feb398cd0061",
"created": "2016-05-12T08:17:27.000Z",
"modified": "2016-05-12T08:17:27.000Z",
"name": "Cryptolocker",
"description": "...",
"labels": [
"ransomware"
]
}
8. 可觀察數據(Observed Data)
Type Name: Observed Data
觀測數據傳達了使用本規範第3部分和第4部分中定義的“網絡可觀測”規範在系統和網絡上觀測到的信息。例如,“觀察的數據”可以捕獲對IP地址,網絡連接,文件或註冊表項的觀察。觀測數據不是智能斷言,它只是信息:查看了該文件,沒有任何含義。
觀測數據既捕獲單個實體(文件,網絡連接)的單個觀測值,又捕獲一個實體的多個觀測值的彙總。當number_observed屬性爲1時,被觀察數據屬於單個實體。當number_observed屬性大於1時,觀察到的數據由在first_observed和last_observed屬性指定的時間窗口內收集的實體的多個實例組成。當用於收集彙總數據時,網絡可觀察對象中的某些字段(例如時間戳字段)可能會被省略,因爲它們對於每個單獨的觀察都會有所不同。
觀察到的數據可以自己使用(沒有關係)來傳達從網絡和基於主機的檢測工具收集的原始數據。防火牆可能會針對它看到的每個連接發出一個包含單個Network Traffic對象的單個Observed Data實例。防火牆還可以聚合數據,而是每隔十分鐘發送一個IP地址和一個適當的number_observed值以指示在該窗口中觀察到IP地址的次數的Observed Data實例。
觀察到的數據也可能與其他SDO相關,以表示與這些對象相關的原始數據。Sighting對象捕獲一個威脅指標、惡意軟件或其他SDO,它使用觀察到的數據來表示導致創建該Sighting的原始信息(例如,顯示某個特定惡意軟件實例處於活動狀態的實際所看到的內容)。
8.1 屬性
公共屬性 |
||
type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
可觀察數據特定屬性 |
||
first_observed, last_observed, number_observed, objects |
||
屬性名 |
類型 |
描述 |
type(必須) |
string |
屬性字段的值必須爲可觀察數據(observed-data) |
first_observed(必須) |
timestamp |
觀察數據的時間窗口開始。 |
last_observed(必須) |
timestamp |
觀察數據的時間窗口結束。 |
number_observed(必須) |
integer |
觀察對象屬性中表示的數據的次數。 該值必須爲1到999,999,999(含)之間的整數。
如果number_observed屬性大於1,那麼對象屬性中包含的數據就會被觀察多次。在這些情況下,對象創建者可能會忽略特定於所觀察數據的單個實例的網絡可觀察對象的屬性(例如時間戳)。 |
objects(必須) |
observable-objects |
代表觀測的網絡可觀測對象字典。字典必須至少包含一個對象。可觀察對象類型在STIX™2.0版中定義。第3部分:網絡可觀察的核心概念。
如果這些對象是作爲單個觀察的一部分相關的,則網絡可觀察內容可以包括多個對象。通過“網絡可觀察的關係”彼此不相關的多個對象一定不能包含在同一“觀察的數據”實例中。
例如,可以將通過src_ref和dst_ref屬性關聯的網絡流量對象和兩個IPv4地址對象包含在同一觀察數據中,因爲它們都是相關的並用於表徵單個實體。但是,必須在單獨的“觀察數據”實例中表示恰好同時觀察到的兩個不相關的IPv4地址對象。 |
8.2 關係
除了那些定義爲公共關係的對象之外,在“觀察到的數據”對象與其他對象之間沒有明確定義的關係。第一部分按屬性名稱列出嵌入的關係及其對應的目標。
除了使用通用Relationship對象創建的關係外,Observed Data也是Sighting SRO的直接目標。Sighting代表所看到的某些情報實體(例如,指示器或惡意軟件實例)之間的關係,所看到的與實際所見的證據之間的關係。該關係中的證據(或原始數據)被捕獲爲“觀察數據”。
關係不限於下面列出的那些。 可以使用“related-to”關係類型,或與用戶定義的名稱一樣,在任何對象之間創建關係。
嵌入關係 |
|||
created_by_ref |
identifier (of type identity ) |
||
object_marking_refs |
Identifier(of type marking-definition) |
||
公有關係 |
|||
duplicate-of , derived-from , related-to |
|||
來源 |
關係類型 |
目標 |
描述 |
—— |
—— |
—— |
—— |
例子
觀察文件對象的數據
{
"type": "observed-data",
"id": "observed-data--b67d30ff-02ac-498a-92f9-32f845f448cf",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T19:58:16.000Z",
"modified": "2016-04-06T19:58:16.000Z",
"first_observed": "2015-12-21T19:00:00Z",
"last_observed": "2015-12-21T19:00:00Z",
"number_observed": 50,
"objects": {
"0": {
"type": "file"
},
…
}
}
9. 報告(Report)
Type Name: Report
報告是針對一個或多個主題的威脅情報的集合,這些威脅情報包括威脅行爲體,惡意軟件或攻擊技術的描述,包括上下文和相關詳細信息。它們用於將相關的威脅情報分組在一起,以便可以將其作爲全面的網絡威脅事件進行發佈。
報告SDO包含對SDO和SRO(報告中包含的CTI對象)的引用列表,以及文本說明和報告名稱。
例如,應使用報告來代表ACME防禦公司.討論Glass Gazelle攻擊活動的威脅報告。報告本身將包含報告的敘述,同時在報告內容中引用運動SDO和任何相關的SDO(例如,運動的指標,其使用的惡意軟件以及相關的關係)。
9.1 屬性
公共屬性 |
||
type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
報告特定屬性 |
||
name, description, published, object_refs |
||
屬性名 |
類型 |
描述 |
type(必須) |
string |
屬性字段的值必須爲報告(report) |
labels(必須) |
list of type open-vocab |
此屬性是一個開放詞彙表,它指定此報告的主要主題。
這是一個開放的詞彙表,值應來自report-label-ov詞彙表。 |
name(必須) |
string |
用於標識報告的名稱。 |
description(可選) |
string |
提供有關該報告的更多詳細信息和上下文的描述,可能包括其目的和關鍵特徵。 |
published(必須) |
timestamp |
此報告的創建者正式發佈此Report對象的日期。
發佈日期(公共發行,法律發行等)可能與報表創建或內部共享的日期(創建的屬性中的日期)不同。 |
object_refs(必須) |
list of type identifier |
指定此報告引用的STIX對象。 |
9.2 關係
除了那些定義爲公共關係的對象之外,在Report對象和其他對象之間沒有明確定義的關係。 第一部分按屬性名稱列出嵌入的關係及其對應的目標。
關係不限於下面列出的那些。 可以使用“related-to”關係類型,或與用戶定義的名稱一樣,在任何對象之間創建關係。
嵌入關係 |
|||
created_by_ref |
identifier (of type identity ) |
||
object_marking_refs |
Identifier(of type marking-definition) |
||
object_refs |
list of type identifier(of STIX Object or marking-definition type) |
||
公有關係 |
|||
duplicate-of , derived-from , related-to |
|||
來源 |
關係類型 |
目標 |
描述 |
—— |
—— |
—— |
—— |
例子
獨立報告;使用者可能已經或可能尚未訪問所引用的STIX對象。
{
"type": "report",
"id": "report--84e4d88f-44ea-4bcd-bbf3-b2c1c320bcb3",
"created_by_ref": "identity--a463ffb3-1bd9-4d94-b02d-74e4f1658283",
"created": "2015-12-21T19:59:11.000Z",
"modified": "2015-12-21T19:59:11.000Z",
"name": "The Black Vine Cyberespionage Group",
"description": "A simple report with an indicator and campaign",
"published": "2016-01-20T17:00:00.000Z",
"labels": [
"campaign"
],
"object_refs": [
"indicator--26ffb872-1dd9-446e-b6f5-d58527e5b5d2",
"campaign--83422c77-904c-4dc1-aff5-5c38f3a2c55c",
"relationship--f82356ae-fe6c-437c-9c24-6b64314ae68a"
]
}
包含報告和報告引用的STIX對象的捆綁包:
{
"type": "bundle",
"id": "bundle--44af6c39-c09b-49c5-9de2-394224b04982",
"objects": [
{
"type": "identity",
"id": "identity--a463ffb3-1bd9-4d94-b02d-74e4f1658283",
"name": "Acme Cybersecurity Solutions"
},
{
"type": "report",
"id": "report--84e4d88f-44ea-4bcd-bbf3-b2c1c320bcbd",
"created_by_ref": "identity--a463ffb3-1bd9-4d94-b02d-74e4f1658283",
"created": "2015-12-21T19:59:11.000Z",
"modified": "2016-05-21T19:59:11.000Z",
"name": "The Black Vine Cyberespionage Group",
"description": "A simple report with an indicator and campaign",
"published": "2016-01-201T17:00:00Z",
"labels": [
"campaign"
],
"object_refs": [
"indicator--26ffb872-1dd9-446e-b6f5-d58527e5b5d2",
"campaign--83422c77-904c-4dc1-aff5-5c38f3a2c55c",
"relationship--f82356ae-fe6c-437c-9c24-6b64314ae68a"
]
},
{
"type": "indicator",
"id": "indicator--26ffb872-1dd9-446e-b6f5-d58527e5b5d2",
"created": "2015-12-21T19:59:17.000Z",
"modified": "2016-05-21T19:59:17.000Z",
"name": "Some indicator",
"labels": [
"malicious-activity"
],
"pattern": "[ file:hashes.MD5 = '3773a88f65a5e780c8dff9cdc3a056f3' ]",
"valid_from": "2015-12-21T19:59:17Z",
"created_by_ref": "identity--a463ffb3-1bd9-4d94-b02d-74e4f1658283"
},
{
"type": "campaign",
"id": "campaign--83422c77-904c-4dc1-aff5-5c38f3a2c55c",
"created_by_ref": "identity--a463ffb3-1bd9-4d94-b02d-74e4f1658283",
"created": "2015-12-21T19:59:17.000Z",
"modified": "2016-05-21T19:59:17.000Z",
"name": "Some Campaign"
},
{
"type": "relationship",
"id": "relationship--f82356ae-fe6c-437c-9c24-6b64314ae68a",
"created_by_ref": "identity--a463ffb3-1bd9-4d94-b02d-74e4f1658283",
"created": "2015-12-21T19:59:17.000Z",
"modified": "2015-12-21T19:59:17.000Z",
"source_ref": "indicator--26ffb872-1dd9-446e-b6f5-d58527e5b5d2",
"target_ref": "campaign--26ffb872-1dd9-446e-b6f5-d58527e5b5d2",
"relationship_type": "indicates"
}
]
}
10. 威脅行爲體(Threat Actor)
威脅行爲體是被認爲具有惡意意圖的實際個人,團體或組織。 威脅角色不是入侵集,但隨着時間的推移可能會支持或隸屬於各種入侵集,團體或組織。
威脅行爲體利用其資源(可能還有入侵集的資源)進行攻擊並針對目標進行攻擊活動。
威脅行爲體的特徵可以是他們的動機,能力,目標,複雜程度,過去的活動,他們可以使用的資源以及他們在組織中的角色。
10.1屬性
公共屬性 |
||
type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
威脅行爲體特定屬性 |
||
name, description, aliases, roles, goals, sophistication, resource_level, primary_motivation, secondary_motivations, personal_motivations |
||
屬性名 |
類型 |
描述 |
type(必須) |
string |
屬性字段的值必須爲威脅行爲體(threat-actor) |
labels(必須) |
list of type open-vocab |
此屬性指定威脅行爲體的類型。
這是一個開放的詞彙表,值應來自“threat-actor-label-ov”詞彙表。 |
name(必須) |
string |
用於標識此威脅行爲體或威脅行爲體組織的名稱。 |
description(可選) |
string |
提供有關該威脅行爲體的更多詳細信息和上下文的描述,可能包括其目的和關鍵特徵。 |
aliases(可選) |
list of type string |
該威脅行爲體使用的其他名稱列表。 |
roles(可選) |
list of type open-vocab |
威脅行爲體的角色列表。
這是一個開放式詞彙,其值應來自於threat-actor-role-ov詞彙。 |
goals(可選) |
list of type string |
此威脅行爲體的高層目標,即他們想做什麼。 例如,他們可能是出於個人利益的動機,但是他們的目標是竊取信用卡號碼。 爲此,他們可以執行特定的攻擊活動,這些攻擊活動的目標很明確,例如損害大型零售商的銷售點系統。 |
sophistication(可選) |
open-vocab |
威脅行爲體執行攻擊必須具備的技能,特定知識,特殊培訓或專業知識。
這是一個開放的詞彙表,其值應該來自於threat-actor-sophistication-ov詞彙表。 |
resource_level(可選) |
open-vocab |
這定義了該威脅行爲體通常工作的組織級別,進而確定了該Threat Actor可用於攻擊的資源。 此屬性鏈接到複雜性屬性-特定資源級別意味着威脅行爲體至少可以訪問特定的複雜性級別。
這是一個開放的詞彙表,值應該來自attack-resource-level-ov詞彙表。 |
primary_motivation(可選) |
open-vocab |
此威脅行爲體背後的主要原因,動機或目的。 動機是爲什麼威脅行爲體希望實現目標(他們正在嘗試實現的目標)。
例如,以破壞一個國家的金融部門爲目標的威脅行爲體可能是受到對資本主義的意識形態仇恨的驅使。
這是一個開放的詞彙表,價值觀應該來自attack-motivation-ov詞彙表。 |
secondary_motivations(可選) |
list of type open-vocab |
該威脅行爲體背後的次要原因,動機或目的。
這些動機可以作爲主要動機的相等或近似相等的原因而存在。 但是,它不能代替或必然放大主要動機,但可能表示其他上下文。
這是一個開放的詞彙表,其值應該來自 attack-motivation-ov詞彙表。 |
personal_motivations(可選) |
list of type open-vocab |
威脅行爲體的個人原因,動機或目的,與組織目標無關。
與組織目標無關的個人動機描述了促使個人進行攻擊的動力。個人積極性可能與組織的積極性相吻合(這在激進主義者中很常見),但更多時候它可以支持個人目標。例如,單個分析師可能會加入Data Miner公司,因爲他或她的技能可能與公司的目標保持一致。但是,分析師很可能以薪水的形式朝着那些目標進行日常工作,以獲得個人獎勵。對於實施非法行爲的威脅行爲體而言,個人獎勵的動機甚至會更大,因爲純粹出於利他原因,越難越過這一界限。
這是一個開放的詞彙表,其值應該來自attack-motivation-ov詞彙表。 |
10.2關係
這些是威脅行爲體對象和其他對象之間明確定義的關係。 第一部分按屬性名稱列出嵌入的關係及其對應的目標。 該表的其餘部分通過“關係”對象來標識可以從“威脅行爲體”對象建立的關係。 爲方便起見,包括了反向關係(與“威脅行爲體”對象的關係)。 對於它們的定義,請參見它們代表“from”關係的對象。
關係不限於下面列出的那些。 可以使用“related-to”關係類型,或與用戶定義的名稱一樣,在任何對象之間創建關係。
嵌入關係 |
|||
created_by_ref |
identifier (of type identity ) |
||
object_marking_refs |
Identifier(of type marking-definition) |
||
公有關係 |
|||
duplicate-of , derived-from , related-to |
|||
來源 |
關係類型 |
目標 |
描述 |
threat-actor |
attributed-to |
identity |
這種關係描述了威脅行爲體的真實身份是相關身份。
例如,從jay-sm17h威脅行爲體到John Smith身份的歸因關係表示,被稱爲jay-sm17h的威脅行爲體是John Smith。 |
threat-actor |
impersonates |
identity |
此關係描述了威脅行爲體冒名頂替了相關的身份。
例如,從gh0st威脅行爲體到ACME Corp.的冒名頂替關係是指被稱爲gh0st的威脅行爲體冒充ACME公司身份。 |
threat-actor |
targets |
identity, vulnerability |
這種關係描述了威脅行爲體使用相關漏洞的漏洞利用或針對相關身份描述的受害者類型。
例如,從jay-sm17h威脅行爲體到博客平臺中的漏洞的目標關係表明,John Smith進行的攻擊經常利用該漏洞。
同樣,從jay-sm17h威脅行爲體到描述美國能源部門的身份的目標關係意味着約翰·史密斯經常對該部門的目標進行攻擊。 |
threat-actor |
uses |
attack-pattern , malware , tool |
此關係描述了作爲Threat Actor一部分進行的攻擊通常使用相關的攻擊模式,惡意軟件或工具。
例如,從jay-sm17h威脅行爲體到xInject惡意軟件的使用關係表明John Smith經常使用xInject。 |
反向關係 |
|||
campaign , intrusion-set |
attributed-to |
threat-actor |
有關定義,請參見前向關係。 |
indicator |
indicates |
threat-actor |
有關定義,請參見前向關係。 |
例子
{
"type": "threat-actor",
"id": "threat-actor--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:03:48.000Z",
"modified": "2016-04-06T20:03:48.000Z",
"labels": [
"crime-syndicate"
],
"name": "Evil Org",
"description": "The Evil Org threat actor group",
"aliases": [
"Syndicate 1",
"Evil Syndicate 99"
],
"roles": "director",
"goals": [
"Steal bank money",
"Steal credit cards"
],
"sophistication": "advanced",
"resource_level": "team",
"primary_motivation": "organizational-gain"
}
11. 工具(Tool)
Type Name:tool
工具是威脅行爲體可以用來執行攻擊的合法軟件。瞭解威脅行爲體如何以及何時使用此類工具對於瞭解如何執行攻擊活動很重要。與惡意軟件不同,這些工具或軟件包通常能在系統上找到,並且對於高級用戶,系統管理員,網絡管理員甚至普通用戶具有合法目的。遠程訪問工具(例如RDP)和網絡掃描工具(例如Nmap)是威脅行爲體在攻擊過程中可能使用的工具的示例。
工具SDO描述了這些軟件工具的特性,並可作爲判斷威脅行爲體在攻擊期間如何使用這些工具的基礎。它包含命名和描述工具的屬性、工具可用於執行的殺傷鏈階段的列表以及工具的版本。
不得使用此SDO來表徵惡意軟件。此外,“工具”絕不能用來表徵作爲對處置方法做出反應的一部分的工具。響應活動期間使用的工具可以直接包含在“處置方法” SDO中。
11.1屬性
公共屬性 |
||
type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
工具特定屬性 |
||
name, description, kill_chain_phases, tool_version |
||
屬性名 |
類型 |
描述 |
type(必須) |
string |
屬性字段的值必須爲工具(tool) |
labels(必須) |
list of type open-vocab |
所描述的工具類型。
這是一個開放的詞彙表,值應該來自tool-label-ov詞彙表。 |
name(必須) |
string |
用於標識工具的名稱。 |
description(可選) |
string |
提供有關該工具的更多詳細信息和上下文的描述,可能包括其目的和關鍵特徵。 |
kill_chain_phases(可選) |
list of type kill-chain-phase |
可以使用此工具的殺傷鏈階段的列表。 |
tool_version(可選) |
string |
與工具關聯的版本標識符。 |
11.2 關係
這些是在工具對象和其他對象之間明確定義的關係。 第一部分按屬性名稱列出嵌入的關係及其對應的目標。 該表的其餘部分標識了可以通過“關係”對象從“工具”對象建立的關係。 爲了方便起見,包括了反向關係(“到”工具對象的關係)。 對於它們的定義,請參見它們代表“from”關係的對象。
關係不限於下面列出的那些。 可以使用“related-to”關係類型,或與用戶定義的名稱一樣,在任何對象之間創建關係。
嵌入關係 |
|||
created_by_ref |
identifier (of type identity ) |
||
object_marking_refs |
Identifier(of type marking-definition) |
||
公有關係 |
|||
duplicate-of , derived-from , related-to |
|||
來源 |
關係類型 |
目標 |
描述 |
tool |
targets |
identity , vulnerability |
此關係記錄此工具正被用於針對此身份或利用此漏洞。
例如,如果目標關係將漏洞利用工具鏈接到CVE-2016-0001的漏洞,則意味着該工具利用了該漏洞。
同樣,將DDoS工具鏈接到代表能源部門的身份的目標關係意味着該工具通常把能源部門中作爲目標。 |
反向關係 |
|||
indicator |
indicates |
tool |
有關定義,請參見前向關係。 |
course-of-action |
mitigates |
tool |
有關定義,請參見前向關係。 |
attack-pattern , campaign , intrusion-set , malware , threat-actor |
uses |
tool |
有關定義,請參見前向關係。 |
例子
{
"type": "tool",
"id": "tool--8e2e2d2b-17d4-4cbf-938f-98ee46b3cd3f",
"created_by_ref": "identity--f431f809-377b-45e0-aa1c-6a4751cae5ff",
"created": "2016-04-06T20:03:48.000Z",
"modified": "2016-04-06T20:03:48.000Z",
"labels": [
"remote-access"
],
"name": "VNC"
}
12. 漏洞(Vulnerability)
Type Name: vulnerability
漏洞是“軟件中的錯誤,黑客可以直接使用該錯誤來訪問系統或網絡” [CVE]。 例如,如果一塊惡意軟件利用CVE2015-12345,則惡意軟件對象可以鏈接到引用CVE-2015-12345的漏洞對象。
漏洞SDO主要用於鏈接到漏洞的外部定義或描述還沒有外部定義的0day漏洞。 通常,當針對特定漏洞並將其作爲惡意網絡活動的一部分加以利用時,其他SDO會聲明與漏洞對象的關係。因此,可以將漏洞對象用作與資產管理和遵從流程的鏈接。
12.1 屬性
公共屬性 |
||
type, id, created_by_ref, created, modified, revoked, labels, external_references, object_marking_refs, granular_markings |
||
漏洞特定屬性 |
||
name, description |
||
屬性名 |
類型 |
描述 |
type(必須) |
string |
屬性字段的值必須爲工具(tool) |
external_references(可選) |
list of type external-referenc |
引用非STIX信息的外部引用列表。 該屬性可以用於提供一個或多個漏洞標識符,例如CVE ID [CVE]。 當指定CVE ID時,外部引用的source_name屬性必須設置爲cve,而external_id屬性必須是確切的CVE標識符。 |
name(必須) |
string |
用於標識漏洞的名稱。 |
description(可選) |
string |
提供有關該漏洞的更多詳細信息和上下文的描述,可能包括其目的和關鍵特徵。 |
12.2 關係
這些是漏洞對象和其他對象之間明確定義的關係。 第一部分按屬性名稱列出嵌入的關係及其對應的目標。 該表的其餘部分通過“關係”對象來標識可以從“漏洞”對象建立的關係。 沒有爲漏洞對象定義任何內容。 爲方便起見,包括了反向關係(與“漏洞”對象的關係)。 對於它們的定義,請參見它們代表“from”關係的對象。
關係不限於下面列出的那些。 可以使用“related-to”關係類型,或與用戶定義的名稱一樣,在任何對象之間創建關係。
嵌入關係 |
|||
created_by_ref |
identifier (of type identity ) |
||
object_marking_refs |
Identifier(of type marking-definition) |
||
公有關係 |
|||
duplicate-of , derived-from , related-to |
|||
來源 |
關係類型 |
目標 |
描述 |
—— |
—— |
—— |
—— |
反向關係 |
|||
attack-pattern , campaign , intrusion-set , malware , threat-actor , tool |
targets |
vulnerability |
有關定義,請參見前向關係。 |
course-of-action |
mitigates |
vulnerability |
有關定義,請參見前向關係。 |
例子
{
"type": "vulnerability",
"id": "vulnerability--0c7b5b88-8ff7-4a4d-aa9d-feb398cd0061",
"created": "2016-05-12T08:17:27.000Z",
"modified": "2016-05-12T08:17:27.000Z",
"name": "CVE-2016-1234",
"external_references": [
{
"source_name": "cve",
"external_id": "CVE-2016-1234"
}
]
}