Relations

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez les objets de relation pour relier deux SDO ou objets cyber-observables (SCO) STIX afin de décrire leurs relations l’un avec l’autre.

    Les objets de relation STIX (SRO) représentent les types de relations entre divers objets STIX. Les objets de relation suivants sont disponibles :
    • Relation objet-objet : cet objet définit les relations entre les SDO, à l’exception de l’objet indicateur. Un exemple de relation définie objet-objet est qu’un modèle d’attaque délivre un programme malveillant.
    • Relation objet-indicateur : cet objet définit les relations entre l’objet indicateur et d’autres SDO. Un exemple de relation objet - indicateur est qu’un indicateur détecte des preuves d’une campagne.
    • Relation objet-observable : cet objet définit les relations entre les SDO et l’objet observable (SCO). Un exemple de relation définie objet-observable est qu’une infrastructure est constituée d’objets cyber-observables qui fournissent des informations sur une attaque potentielle.
    Tableau 1. Relations d’objet STIX
    Objet de relation Source de l’exemple Exemple de cible Exemple de description
    Relations objet-objet Modèle d’attaque Programme malveillant Cette relation décrit que ce modèle d’attaque est utilisé pour diffuser cette instance (ou famille) de programme malveillant.
    Relations objet-indicateur Indicateur Modèle d’attaque, Campagne, Infrastructure, Ensemble d’intrusions, Programme malveillant, Acteur de menace, Outil Cette relation décrit le fait que l’indicateur peut détecter des preuves du modèle d’attaque, de la campagne, de l’infrastructure, de l’ensemble d’intrusions, du programme malveillant, de l’acteur de menace ou de l’outil associé.

    Il se peut que la preuve ne soit pas directe. Par exemple, l’indicateur peut détecter des preuves secondaires de la campagne, telles que des programmes malveillants couramment utilisés par cette campagne particulière.
    Relations objet-observable Infrastructure Données observées Cette relation décrit que l’indicateur est créé en fonction des informations provenant d’un objet de données observé.

    Un exemple de relation définie objet-observable est qu’une infrastructure est constituée d’objets cyber-observables qui fournissent des informations sur une attaque potentielle.