Objetos de relacionamentos
Use os objetos Relacionamentos para vincular dois observáveis ou um observável e SDO para explicar como eles se relacionam entre si.
Objetos de relacionamento STIX (SROs) representam tipos de relacionamentos entre vários objetos STIX. Os seguintes objetos de relacionamento estão disponíveis:
- Relacionamento observável-observável : Este objeto define relacionamentos entre observáveis.
- Relacionamento objeto-objeto : Este objeto define relacionamentos entre SDOs, exceto o objeto indicador. Um exemplo de um relacionamento definido objeto-objeto é que um padrão de ataque fornece um malware.
- Relacionamento objeto-observável : Este objeto define relacionamentos entre SDOs e o objeto observável (SCO). Um exemplo de um relacionamento definido objeto-observável é que uma infraestrutura consiste em objetos observáveis cibernéticos que fornecem informações de um possível ataque.
- Relacionamento objeto-indicador : Este objeto define relacionamentos entre SDOs e o objeto indicador.
- Relacionamentos indicador-indicador : Este objeto define relacionamentos entre objetos indicadores.
- Relação indicador-observável : Este objeto define relacionamentos entre o objeto indicador e outros SDOs. Um exemplo de um relacionamento definido por objeto-indicador é que um indicador detecta evidências de uma campanha.
| Objeto de relacionamento | Origem de exemplo | Destino de exemplo | Descrição de exemplo |
|---|---|---|---|
| Observável-observável | Endereço IP, nome de domínio | Este relacionamento descreve entre os observáveis. | |
| Relacionamentos objeto-objeto | Padrão de ataque | Malware | Este relacionamento descreve que este padrão de ataque é usado para entregar esta instância de malware (ou família). |
| Relacionamentos objeto-observável | Este relacionamento descreve entre os objetos e os observáveis. | ||
| Relacionamentos objeto-indicador | Indicador | Padrão de ataque, Campanha, Infraestrutura, Conjunto de intrusão, Malware, agente de ameaças, ferramenta | Este relacionamento descreve que o indicador pode detectar evidências do padrão de ataque relacionado, campanha, infraestrutura, conjunto de intrusão, malware, agente ou ferramenta de ameaça. As evidências podem não ser diretas. Por exemplo, o indicador pode detectar evidências secundárias da campanha, como malware que é comumente usado por essa campanha específica. |
| Indicador - Relacionamentos de indicador | Infraestrutura | Dados observados | Este relacionamento descreve que o indicador é criado com base nas informações de um objeto de dados observado. Um exemplo de um relacionamento definido objeto-observável é que uma infraestrutura consiste em objetos observáveis cibernéticos que fornecem informações de um possível ataque. |
| Observável | Esta relação descreve entre os indicadores e observáveis. |