Structured threat information expression

From Wikipedia, the free encyclopedia

Structured Threat Information eXpression(脅威情報構造化記述形式[1])、略してSTIXはサイバー脅威インテリジェンスを機械可読な方法で他者と共有するための仕様であり[1][2]、セキュリティコミュニティが攻撃をより理解し、攻撃への準備や対応をよりうまく、早く、正確に行う事を可能にする[2]

なお、STIXのバージョン1はXML形式で脅威インテリジェンスを記述していたが、バージョン2ではJSON形式で記述する[3]

STIXバージョン1.1.1

以下の8つの情報群から構成される[1]

さらに見る 名称, 意味 ...
名称 意味 概要
Campaigns サイバー攻撃活動 「攻撃活動の意図(campaign:Intended_Effect)」と「攻撃活動の状態(campaign:Status)」等を記述
Threat_Actors 攻撃者 「攻撃者のタイプ(ta:Type)」、「攻撃者の動機(ta:Motivation)」、「攻撃者の熟練度(ta:Sophistication)」、「攻撃者の意図(ta:Intended_Effect)」等を記述
TTPs 攻撃手口 「攻撃手口の意図(ttp:Intended_Effect)」、「使用されたマルウェアのタイプ(ttp:Malware_Instance)」、「攻撃で用いられたツール(ttp:Tool)」、「攻撃者の攻撃基盤(ttp:Infrastructure)」、「攻撃対象となるシステム(ttp:Targeted_Systems)」、「攻撃対象となる情報(ttp:Targeted_Information)」、「攻撃のパターン(ttp:Attack_Pattern)」を等記述。

なお、TTPsは「Tactics, Techniques and Procedures」(戦術、技術、手順)の略。攻撃のパターン(ttp:Attack_Pattern)にはCAPECのidを記述。

Indicators 検知指標 検知指標のタイプ(indicator:Type)を等記述
Observables 観測事象 CybOX形式で観測事象を等記述
Incidents インシデント 「インシデントの分類(incident:Category)」、「被害を受けた資産の所有者(incident:Ownership_Class)」、「資産の管理者(incident:Management_Class)」、「資産の場所(incident:Location_Class)」、「インシデントによる被害分類(incident:Property)」、「インシデントの影響を受けた対象(incident:Effect)」、「インシデント対処の状況(incident:Status)」、「侵害の発生有無(incident:Security_Compromise)」、「発見方法(incident:Discovery_Method)」を等記述。
Courses_Of_Action 対処措置 「処措置の状況(coa:Stage)」、「対処措置のタイプ(coa:Type)」を等記述。
Exploit_Targets 攻撃対象 脆弱性のCVE番号(et:CVE_ID)、CWE番号(et:CWE_ID)、CCE番号(et:CCE_ID)、VSS等スコア(et:CVSS_Score)を記述。
閉じる

これら8つに2つの付属情報フィールドSTIX_Header、Related_Packagesを組み合わせたものをSTIX_PACKAGEといい、STIX_PACKAGEにより脅威情報を記述する[1]

STIX_PACKAGEではCampaignsフィールドから他のフィールドに下記のようなリンクを貼る事が可能である[1]

さらに見る リンク名, リンク先 ...
リンク名 リンク先
Related_Indicators Indicators
Related_TTPs TTPs
Related_Incidents Incidents
Associated_Campaigns Campaigns
Attributions Threat_Actors
Related_Packages Related_Packages
閉じる

脚注

Related Articles

Wikiwand AI