Structured threat information expression
Structured Threat Information eXpression(脅威情報構造化記述形式[1])、略してSTIXはサイバー脅威インテリジェンスを機械可読な方法で他者と共有するための仕様であり[1][2]、セキュリティコミュニティが攻撃をより理解し、攻撃への準備や対応をよりうまく、早く、正確に行う事を可能にする[2]。
なお、STIXのバージョン1はXML形式で脅威インテリジェンスを記述していたが、バージョン2ではJSON形式で記述する[3]。
STIXバージョン1.1.1[編集]
 | この節の一部(STIX 2.0ではなくSTIX 1.1.1に基づいた記述に関わる部分)は更新が必要とされています。 この節には古い情報が掲載されています。編集の際に新しい情報を記事に反映させてください。反映後、このタグは除去してください。(2018年11月) |
以下の8つの情報群から構成される[1]:
| 名称 | 意味 | 概要 |
|---|---|---|
| Campaigns | サイバー攻撃活動 | 「攻撃活動の意図(campaign:Intended_Effect)」と「攻撃活動の状態(campaign:Status)」等を記述 |
| Threat_Actors | 攻撃者 | 「攻撃者のタイプ(ta:Type)」、「攻撃者の動機(ta:Motivation)」、「攻撃者の熟練度(ta:Sophistication)」、「攻撃者の意図(ta:Intended_Effect)」等を記述 |
| TTPs | 攻撃手口 | 「攻撃手口の意図(ttp:Intended_Effect)」、「使用されたマルウェアのタイプ(ttp:Malware_Instance)」、「攻撃で用いられたツール(ttp:Tool)」、「攻撃者の攻撃基盤(ttp:Infrastructure)」、「攻撃対象となるシステム(ttp:Targeted_Systems)」、「攻撃対象となる情報(ttp:Targeted_Information)」、「攻撃のパターン(ttp:Attack_Pattern)」を等記述。
なお、TTPsは「Tactics, Techniques and Procedures」(戦術、技術、手順)の略。攻撃のパターン(ttp:Attack_Pattern)にはCAPECのidを記述。 |
| Indicators | 検知指標 | 検知指標のタイプ(indicator:Type)を等記述 |
| Observables | 観測事象 | CybOX形式で観測事象を等記述 |
| Incidents | インシデント | 「インシデントの分類(incident:Category)」、「被害を受けた資産の所有者(incident:Ownership_Class)」、「資産の管理者(incident:Management_Class)」、「資産の場所(incident:Location_Class)」、「インシデントによる被害分類(incident:Property)」、「インシデントの影響を受けた対象(incident:Effect)」、「インシデント対処の状況(incident:Status)」、「侵害の発生有無(incident:Security_Compromise)」、「発見方法(incident:Discovery_Method)」を等記述。 |
| Courses_Of_Action | 対処措置 | 「処措置の状況(coa:Stage)」、「対処措置のタイプ(coa:Type)」を等記述。 |
| Exploit_Targets | 攻撃対象 | 脆弱性のCVE番号(et:CVE_ID)、CWE番号(et:CWE_ID)、CCE番号(et:CCE_ID)、VSS等スコア(et:CVSS_Score)を記述。 |
これら8つに2つの付属情報フィールドSTIX_Header、Related_Packagesを組み合わせたものをSTIX_PACKAGEといい、STIX_PACKAGEにより脅威情報を記述する[1]。
STIX_PACKAGEではCampaignsフィールドから他のフィールドに下記のようなリンクを貼る事が可能である[1]:
| リンク名 | リンク先 |
|---|---|
| Related_Indicators | Indicators |
| Related_TTPs | TTPs |
| Related_Incidents | Incidents |
| Associated_Campaigns | Campaigns |
| Attributions | Threat_Actors |
| Related_Packages | Related_Packages |
脚注[編集]
- ^ a b c d e “脅威情報構造化記述形式STIX概説”. 情報処理推進機構. 2018年11月6日閲覧。
- ^ a b “1.1 What is STIX?”. Frequently Asked Questions. OASIS. 2018年11月12日閲覧。
- ^ “Comparing STIX 1.X/CybOX 2.X with STIX 2”. OASIS. 2018年11月13日閲覧。