関係
関係オブジェクトを使用して、2 つの SDO または STIX サイバー観測可能オブジェクト (SCO) をリンクし、それらが互いにどのように関連しているかを記述します。
STIX 関係オブジェクト (SRO) は、さまざまな STIX オブジェクト間の関係のタイプを表します。次の関係オブジェクトを使用できます。
- オブジェクトとオブジェクトの関係:このオブジェクトは、インジケーターオブジェクトを除く SDO 間の関係を定義します。オブジェクトとオブジェクトで定義された関係の例は、攻撃パターンがマルウェアを配信する関係です。
- オブジェクトとインジケーターの関係:このオブジェクトは、インジケーターオブジェクトと SDO の間の関係を定義します。オブジェクトとインジケーターで定義された関係の例は、インジケーターがキャンペーンの証拠を検出する関係です。
- オブジェクトと観測事象の関係:このオブジェクトは、SDO と観測事象オブジェクトの間の関係を定義します。オブジェクトと観測事象で定義された関係の例は、潜在的な攻撃の情報を提供するサイバー観測事象オブジェクトでインフラストラクチャが構成されている関係です。
| 関係オブジェクト | ソースの例 | ターゲットの例 | 説明の例 |
|---|---|---|---|
| オブジェクトとオブジェクトの関係 | 攻撃パターン | マルウェア | この関係は、このマルウェアインスタンス (またはファミリ) を配信するためにこの攻撃パターンが使用されることを示しています。 |
| オブジェクトとインジケーターの関係 | インジケーター | 攻撃パターン、キャンペーン、インフラストラクチャ、侵入セット、マルウェア、攻撃者、ツール | この関係は、関連する攻撃パターン、キャンペーン、インフラストラクチャ、侵入セット、マルウェア、攻撃者、またはツールの証拠をインジケーターが検出できることを示しています。 証拠が直接的でない場合があります。たとえば、特定のキャンペーンでよく使用されるマルウェアなど、キャンペーンの二次的証拠をインジケーターで検出することもできます。 |
| オブジェクトと観測事象の関係 | インフラストラクチャ | 観測データ | この関係は、観測されたデータオブジェクトからの情報に基づいてインジケーターが作成されていることを示しています。 オブジェクトと観測事象で定義された関係の例は、潜在的な攻撃の情報を提供するサイバー観測事象オブジェクトでインフラストラクチャが構成されている関係です。 |