Objets de relations

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez les objets de relations pour lier deux observables ou un observable et SDO pour expliquer comment ils sont liés l’un à l’autre.

    Les objets de relation STIX (SRO) représentent les types de relations entre divers objets STIX. Les objets de relation suivants sont disponibles :
    • Relation observable-observable : cet objet définit les relations entre observables.
    • Relation objet-objet : cet objet définit les relations entre les SDO, à l’exception de l’objet indicateur. Un exemple de relation définie objet-objet est qu’un modèle d’attaque délivre un programme malveillant.
    • Relation objet-observable : cet objet définit les relations entre les SDO et l’objet observable (SCO). Un exemple de relation définie objet-observable est qu’une infrastructure est constituée d’objets cyber-observables qui fournissent des informations sur une attaque potentielle.
    • Relation objet-indicateur : cet objet définit les relations entre les SDO et l’objet indicateur.
    • Relations indicateur-indicateur : cet objet définit les relations entre les objets d’indicateur.
    • Relation indicateur-observable : cet objet définit les relations entre l’objet indicateur et d’autres SDO. Un exemple de relation objet - indicateur est qu’un indicateur détecte des preuves d’une campagne.
    Tableau 1. Relations d'objet
    Objet de relation Source de l’exemple Exemple de cible Exemple de description
    Relations observable-observable Adresse IP, nom de domaine Cette relation décrit entre les observables.
    Relations objet-objet Modèle d’attaque Programme malveillant Cette relation décrit que ce modèle d’attaque est utilisé pour diffuser cette instance (ou famille) de programme malveillant.
    Relations objet-observable Cette relation décrit entre les objets et les observables.
    Relations objet-indicateur Indicateur Modèle d’attaque, Campagne, Infrastructure, Ensemble d’intrusions, Programme malveillant, Acteur de menace, Outil Cette relation décrit le fait que l’indicateur peut détecter des preuves du modèle d’attaque, de la campagne, de l’infrastructure, de l’ensemble d’intrusions, du programme malveillant, de l’acteur de menace ou de l’outil associé.

    Il se peut que la preuve ne soit pas directe. Par exemple, l’indicateur peut détecter des preuves secondaires de la campagne, telles que des programmes malveillants couramment utilisés par cette campagne particulière.
    Indicateur : relations indicateur Infrastructure Données observées Cette relation décrit que l’indicateur est créé en fonction des informations provenant d’un objet de données observé.

    Un exemple de relation définie objet-observable est qu’une infrastructure est constituée d’objets cyber-observables qui fournissent des informations sur une attaque potentielle.
    Indicateur : Observable Cette relation décrit entre les indicateurs et les observables.