什麼是 STIX/TAXII?

STIX/TAXII 是一項共同的全球計劃,旨在推動組織間的威脅情報共享和協作。

學習目標

閱讀本文後,您將能夠:

  • 定義 STIX/TAXII
  • 解釋 STIX/TAXII 的常見用例
  • 瞭解 STIX/TAXII 如何加強網路威脅的緩和和預防

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是 STIX/TAXII?

STIX/TAXII 是一項全球計畫,旨在緩解和預防網路威脅。它由美國國土安全部 (DHS) 於 2016 年 12 月推出,該組織現在由 OASIS 管理,是一個非營利組織,旨在促進網際網路開放標準的制定、採用和融合。

結構化威脅資訊表達式 (STIX) 是一種標準化語言,使用基於 JSON 的語彙,以可讀且一致的格式表達和分享威脅情報資訊。它類似於通用語言如何幫助來自世界不同地區的人們進行交流。STIX 只能促進在系統之間交換網路威脅資訊,而不是人與人之間的對話。STIX 提供通用語法,因此使用者可以透過威脅的動機、能力、功能和回應,一致地描述威脅。

受信任的自動情報資訊交換 (TAXII) 是傳輸威脅情報資料的格式。TAXII 是一種傳輸通訊協定,支援透過超文字傳輸通訊協定安全 (HTTPS) 傳送 STIX 見解。

需要注意的是,STIX 和 TAXII 是獨立的標準。STIX 不依賴於特定的傳輸方法,而 TAXII 可用於傳輸非 STIX 資訊和資料。

STIX/TAXII 一起使用時,會形成共享和使用威脅情報的框架,創建一個開源平台,允許用戶搜索包含 攻擊媒介 詳細信息的記錄,例如惡意 IP 地址,惡意軟件簽名和威脅行為者。

STIX 如何運作?

STIX 的工作方式是提供一種通用語言來描述威脅指標、事件和資料外洩。它可以手動使用,也可以使用 XML 編輯器、Python 和 Java 繫結以及 Python API 和公用程式進行程式設計。資料被組織到 STIX 封裝中,然後透過各種方法分享,包括檔案交換、API 或發佈到威脅情報平台。

STIX 也提供一組建議的詞彙和資料模型,讓組織更容易描述常見的威脅類型和結構。

TAXII 如何運作?

TAXII 的運作方式是定義用於交換資料的通訊協定,包括訊息格式、通訊協定和安全性需求。

TAXII 中的兩個關鍵概念是集合和通道。集合是由單一實體(例如安全廠商或政府機構)組織和管理的一組 STIX 套件。通道可讓組織存取特定集合,例如透過 API、檔案交換或威脅情報平台。通道允許使用者將資料推送給多個消費者。

為什麼 STIX/TAXII 很重要?

STIX/TAXII 很重要,因為它透過提高組織偵測、回應和預防網路威脅的能力來增強組織的整體安全狀態。

STIX 計程式可啟用下列項目:

  1. 改善威脅情報分享: STIX/TAXII 為組織提供共用語言,以便分享和交換威脅情報。
  2. 提升威脅偵測與回應能力: 透過標準方式呈現威脅資料,組織能夠自動偵測、分析和回應威脅。
  3. 提高情報準確性:STIX/TAXII 架構有助於確保情報資料一致、完整且準確。它提高了威脅情報資料的品質和實用性。
  4. 鼓勵合作: 組織能夠以安全且可擴展的方式共享數據,從而促進組織之間的協作和信息共享。
  5. 自動化支援:在 STIX/TAXII 中使用通用語言和標準,可讓組織更輕鬆地自動化威脅偵測、分析和回應程序,進而提高效率並降低人為錯誤的風險。

使用 STIX/TAXII 有哪些不同的方式?

自推出以來,STIX/TAXII 已被全球機構用於改善他們對線上威脅的理解。有幾種方法可以使用 STIX/TAXII 框架交換威脅情報資料:

  1. 威脅情報平台:組織可以透過威脅情報平台發佈和存取 STIX 資料,該平台可作為共用和交換威脅情報資料的中央儲存庫。
  2. API 整合: 威脅分析師可以使用 API 與其他安全工具和系統交換資料。
  3. 檔案交換:組織可以將 STIX 套件作為檔案交換,從而允許系統之間進行簡單的資料交換。
  4. 即時資料饋送: 分析師團隊可利用 TAXII 訂閱供應商的即時資料饋送。
  5. 威脅搜尋:安全分析師可以使用 STIX/TAXII 來組織和搜尋威脅情報資料,從而更輕鬆地識別威脅並支援調查。
  6. 自動化威脅偵測:安全團隊可以使用 STIX/TAXII 自動化威脅偵測程序,以便快速識別並回應新的威脅。

Cloudforce One

Cloudforce One 是一個威脅運作和研究團隊,旨在追蹤和破壞威脅執行者。該團隊的先進威脅情報功能可全面覆蓋威脅環境中的所有實體,並幫助組織保持領先地位,並在任何威脅造成損害之前採取行動。