STIX/TAXII 是一项全球联合倡议,旨在推动各组织之间的威胁情报共享和协作。
阅读本文后,您将能够:
复制文章链接
STIX/TAXII 是一项旨在缓解和预防网络威胁的全球倡议。它由美国国土安全部 (DHS) 于 2016 年 12 月推出,该组织现在由 OASIS 管理;OASIS 是一个致力于推动互联网开放标准的发展、采用和融合的非营利组织。
结构化威胁信息表达式 (STIX) 是一种标准化语言,使用基于 JSON 的词汇表来以可读且一致的格式表达和分享威胁情报。它类似于一种共同语言,可以帮助来自世界不同地区的人交流。不过 STIX 不是人与人之间的对话,而是实现了系统之间的网络威胁信息交流。STIX 提供了一个通用的语法,用户可以借此来按威胁的动机、能力、功能和反应对威胁进行一致的描述。
可信情报信息自动交换 (TAXII) 是威胁情报数据传输的格式。TAXII 是一个支持通过超文本传输安全协议 (HTTPS) 传输 STIX 见解的传输协议。
一个关键要点是 STIX 和 TAXII 都是独立的标准。STIX 不依赖特定的传输方式,而 TAXII 可以用来传输非 STIX 的信息和数据。
当一起使用时,STIX/TAXII形成了一个共享和使用威胁情报的框架,创建了一个开源平台,允许用户通过包含 攻击载体的记录进行搜索 恶意IP地址、恶意软件签名和威胁行为者等细节。
STIX 通过提供一种描述威胁指标、事件和数据泄露的通用语言来运行。STIX 可以手动使用,也可以使用 XML 编辑器、Python 和 Java 绑定以及 Python API 和实用程序进行编程。数据将被组织成 STIX 包,随后可以通过各种方法共享,包括文件交换、API 或发布到威胁情报平台。
STIX 还提供一套推荐词汇表和数据模型,方便组织描述常见的威胁类型和结构。
TAXII通过定义交换数据的协议来工作,包括消息格式、通信协议和安全要求。
TAXII 中的两个关键概念是集合和渠道。集合是由单一实体(如安全供应商或政府机构)组织和管理的一组 STIX 包。渠道允许组织通过 API、文件交换或威胁情报平台等访问一个特定的集合。渠道允许用户向多个消费者推送数据。
STIX/TAXII 很重要,因为它通过提高企业检测、应对和预防网络威胁的能力,增强了企业的整体安全态势。
STIX/TAXII可以实现以下功能:
自推出以来,STIX/TAXII 已被世界各地的机构用来提高他们对在线威胁的理解。有以下几种方法可以使用 STIX/TAXII 框架进行威胁情报数据交换:
Cloudforce One 是一个威胁运营与研究团队,旨在跟踪和阻止威胁行为者。该团队先进的威胁情报能力可以全面覆盖威胁环境中的所有实体,并帮助组织保持领先优势,在任何威胁造成破坏之前采取行动。