관계
관계 오브젝트를 사용하여 두 개의 SDO 또는 STIX SCO(Cyber-observable Object)를 함께 연결하여 서로 어떻게 관련되는지 설명할 수 있습니다.
STIX 관계 객체(SRO)는 다양한 STIX 객체 간의 관계 유형을 나타냅니다. 다음과 같은 관계 객체를 사용할 수 있습니다.
- 오브젝트-오브젝트 관계: 이 오브젝트는 인디케이터 오브젝트를 제외한 DDO 간의 관계를 정의합니다. 객체-객체 정의 관계의 예는 공격 패턴이 맬웨어를 전달하는 것입니다.
- 오브젝트-인디케이터 관계: 이 오브젝트는 인디케이터 오브젝트와 다른 SDO 간의 관계를 정의합니다. 객체-표시기 정의 관계의 예는 표시기가 캠페인의 증거를 발견하는 것입니다.
- 오브젝트-옵저버블 관계: 이 오브젝트는 SDO와 옵저버블 오브젝트(SCO) 간의 관계를 정의합니다. 객체-옵저버블 정의 관계의 예로는 인프라가 잠재적 공격에 대한 정보를 제공하는 사이버 옵저버블 객체로 구성되는 경우를 들 수 있습니다.
| 관계 객체 | 예시 소스 | 대상 예시 | 예시 설명 |
|---|---|---|---|
| 객체-객체 관계 | 공격 패턴 | 맬웨어 | 이 관계는 이 공격 패턴이 이 악성코드 인스턴스(또는 제품군)를 전달하는 데 사용됨을 설명합니다. |
| 객체-표시기 관계 | 표시기 | 공격 패턴, 캠페인, 인프라, 침입 세트, 악성코드, 위협 행위자, 도구 | 이 관계는 표시기가 관련 공격 패턴, 캠페인, 인프라, 침입 세트, 악성코드, 위협 행위자 또는 툴의 증거를 탐지할 수 있음을 설명합니다. 증거가 직접적이지 않을 수 있습니다. 예를 들어, 표시기는 특정 캠페인에서 일반적으로 사용되는 맬웨어와 같은 캠페인의 2차 증거를 감지할 수 있습니다. |
| 객체-옵저버블 관계 | 인프라 | 관찰 데이터 | 이 관계는 지표가 관찰된 데이터 객체의 정보를 기반으로 생성된다는 것을 설명합니다. 객체-옵저버블 정의 관계의 예로는 인프라가 잠재적 공격에 대한 정보를 제공하는 사이버 옵저버블 객체로 구성되는 경우를 들 수 있습니다. |