STIX/TAXII 是一項共同的全球計劃,旨在推動組織間的威脅情報共享和協作。
閱讀本文後,您將能夠:
複製文章連結
STIX/TAXII 是一項全球計畫,旨在緩解和預防網路威脅。它由美國國土安全部 (DHS) 於 2016 年 12 月推出,該組織現在由 OASIS 管理,是一個非營利組織,旨在促進網際網路開放標準的制定、採用和融合。
結構化威脅資訊表達式 (STIX) 是一種標準化語言,使用基於 JSON 的語彙,以可讀且一致的格式表達和分享威脅情報資訊。它類似於通用語言如何幫助來自世界不同地區的人們進行交流。STIX 只能促進在系統之間交換網路威脅資訊,而不是人與人之間的對話。STIX 提供通用語法,因此使用者可以透過威脅的動機、能力、功能和回應,一致地描述威脅。
受信任的自動情報資訊交換 (TAXII) 是傳輸威脅情報資料的格式。TAXII 是一種傳輸通訊協定,支援透過超文字傳輸通訊協定安全 (HTTPS) 傳送 STIX 見解。
需要注意的是,STIX 和 TAXII 是獨立的標準。STIX 不依賴於特定的傳輸方法,而 TAXII 可用於傳輸非 STIX 資訊和資料。
STIX/TAXII 一起使用時,會形成共享和使用威脅情報的框架,創建一個開源平台,允許用戶搜索包含 攻擊媒介 詳細信息的記錄,例如惡意 IP 地址,惡意軟件簽名和威脅行為者。
STIX 的工作方式是提供一種通用語言來描述威脅指標、事件和資料外洩。它可以手動使用,也可以使用 XML 編輯器、Python 和 Java 繫結以及 Python API 和公用程式進行程式設計。資料被組織到 STIX 封裝中,然後透過各種方法分享,包括檔案交換、API 或發佈到威脅情報平台。
STIX 也提供一組建議的詞彙和資料模型,讓組織更容易描述常見的威脅類型和結構。
TAXII 的運作方式是定義用於交換資料的通訊協定,包括訊息格式、通訊協定和安全性需求。
TAXII 中的兩個關鍵概念是集合和通道。集合是由單一實體(例如安全廠商或政府機構)組織和管理的一組 STIX 套件。通道可讓組織存取特定集合,例如透過 API、檔案交換或威脅情報平台。通道允許使用者將資料推送給多個消費者。
STIX/TAXII 很重要,因為它透過提高組織偵測、回應和預防網路威脅的能力來增強組織的整體安全狀態。
STIX 計程式可啟用下列項目:
自推出以來,STIX/TAXII 已被全球機構用於改善他們對線上威脅的理解。有幾種方法可以使用 STIX/TAXII 框架交換威脅情報資料:
Cloudforce One 是一個威脅運作和研究團隊,旨在追蹤和破壞威脅執行者。該團隊的先進威脅情報功能可全面覆蓋威脅環境中的所有實體,並幫助組織保持領先地位,並在任何威脅造成損害之前採取行動。