结构化的威胁信息表达式(斯蒂克斯™)是一种结构化语言来描述网络威胁信息可以共享,存储和分析以一致的方式。
的斯蒂克斯白皮书描述了斯蒂克斯背后的动机和架构。在一个较高的层面上斯蒂克斯语言由9关键结构和它们之间的关系:
的绿洲网络威胁情报(CTI)技术委员会(TC)导致斯蒂克斯持续发展。看到社区页面获取更多信息。几个快捷键:
斯蒂克斯对于任何参与捍卫网络或系统对网络威胁,包括网络防御、网络威胁分析师、恶意软件分析师、安全工具厂商,安全研究人员,威胁分享社区,和更多。斯蒂克斯提供了一种共同的语言来描述网络威胁信息可以共享,存储,否则以一致的方式使用,促进了自动化。
的存档以前的版本在这个网站。
绑定和相关工具来帮助与斯蒂克斯和工作过程开源在Github上。
的样品页面在这个网站的主机完全威胁报告通过斯蒂克斯表示,包括Mandiant APT1报告和FireEye毒葛报告。成语还提供良好的约束的例子。
除了样本冠冕,社区成员建立了TAXII内容存储库包含斯蒂克斯甚至目录指向这些存储库。存储库是一个例子http://hailataxii.com。
当然使用斯蒂克斯的主要方式是通过商业产品。看到“使用斯蒂克斯是谁?”为更多的信息。
如果你正在开发一个产品或工具,当前斯蒂克斯参考实现是在XML所以任何XML库适合生产和消费斯蒂克斯XML。该项目还维护开源Python绑定和其他公用事业公司简化处理斯蒂克斯在代码级别。文档和建议的做法,以及例子,可以帮助您理解如何使用斯蒂克斯语言概念(只是生产的XML)。
绿洲网络威胁情报(CTI)技术委员会(TC)举办“斯蒂克斯/ CybOX / TAXII支持者”名单产品和开源项目。您可以添加您的产品/项目通过注册表单。
此外,斯蒂克斯博客还指出供应商新闻稿和公告。
看到使用条款。
TAXII(信任自动交换指标信息)是主要的网络威胁信息传输机制在斯蒂克斯表示。通过使用TAXII服务,组织可以分享网络威胁信息在一个安全的、自动化的方式。
斯蒂克斯和TAXII社区紧密合作(实际上是由许多相同的人),以确保他们继续提供一个完整的堆栈分享情报的威胁。
CybOX(网络可观测的表达式)是一种语言来描述事件的状态属性(“东西”)中观察到的网络域名。斯蒂克斯利用CybOX为此,比如在指标模式、基础设施的描述,和行动参数。
斯蒂克斯和CybOX社区紧密合作(实际上是由许多相同的人),以确保CybOX独立是有价值的,以及支持斯蒂克斯所需的用例。
MAEC(恶意软件属性枚举和分类)是一种语言用于描述恶意软件行为和恶意软件分析的结果。通过TTP斯蒂克斯利用MAEC构造为此,此外斯蒂克斯和MAEC CybOX使用。
虽然MAEC由国土安全部、斯蒂克斯CybOX, MAEC社区紧密合作(实际上是由许多相同的人),确保三个规范的结合可以互操作,支持个人和组合使用。斯蒂克斯和MAEC团队同时造成了白皮书描述如何恶意软件在MAEC和斯蒂克斯的特点。
斯蒂克斯可以利用常见的攻击模式枚举和分类(CAPEC™)的结构化描述策略,技术和程序(TTP)攻击模式通过使用CAPEC模式的扩展。
的事件对象描述格式(IODEF)是一个互联网工程任务组(IETF)标准制定事件信息的交换。没有正式的斯蒂克斯和IODEF之间的关系,虽然可以利用IODEF内斯蒂克斯以表示事件信息。然而,这样做会失去提供的丰富和建筑对齐斯蒂克斯事件结构。
斯蒂克斯指标的测试机制领域是一个可扩展的选择提供一个指标签名CybOX以外的东西。开放妥协的指标,开放的脆弱性和评估语言(椭圆形®),SNORT规则和雅苒规则支持字段默认扩展测试机制。
的绿洲客户信息质量(海关)是一个语言代表个人和组织的信息。斯蒂克斯的身份结构使用一种扩展机制来表示识别信息用于描述恶意行为,受害者和情报来源。STIX-provided扩展利用出入境检验检疫局。
的词汇的事件记录和事件共享(真实的)是一个度量框架旨在提供一个共同的语言来描述安全事故及其以结构化的方式的影响。斯蒂克斯事件之间的区别和真实目的和用途:真实是网络事件的事后描述用于事后战略趋势分析和风险管理。斯蒂克斯提供能够捕获的信息安全事件及其影响,但这样做在一个更广泛的威胁情报框架。Verizon和真实的团队成员积极斯蒂克斯社区的成员和贡献了他们的思想和访问真实结构,以帮助改善和完善的内容斯蒂克斯事件模式。斯蒂克斯事件模式的很大一部分是来自这个真实输入。