Beziehungen

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Beziehungsobjekte, um zwei SDOs oder STIX Cyber-observable Objects (SCOs) miteinander zu verknüpfen und zu beschreiben, wie sie sich zueinander verhalten.

    STIX-Beziehungsobjekte (SROs) stellen Arten von Beziehungen zwischen verschiedenen STIX-Objekten dar. Die folgenden Beziehungsobjekte sind verfügbar:
    • Objekt-Objekt-Beziehung: Dieses Objekt definiert Beziehungen zwischen SDOs mit Ausnahme des Indikatorobjekts. Ein Beispiel für eine definierte Objekt-Objekt-Beziehung ist, dass ein Angriffsmuster eine Malware bereitstellt.
    • Objekt-Indikator-Beziehung: Dieses Objekt definiert Beziehungen zwischen dem Indikatorobjekt und anderen SDOs. Ein Beispiel für eine definierte Objekt-Indikator-Beziehung ist, dass ein Indikator Nachweise für eine Kampagne erkennt.
    • Objekt-Erkennbare-Beziehung: Dieses Objekt definiert Beziehungen zwischen SDOs und dem erkennbaren Objekt (SCO). Ein Beispiel für eine definierte Beziehung zwischen Objekt und erkennbarem Element ist, dass eine Infrastruktur aus im Internet erkennbaren Objekten besteht, die Informationen zu einem potenziellen Angriff bereitstellen.
    Tabelle : 1. STIX-Objektbeziehungen
    Beziehungsobjekt Beispielquelle Beispiel Ziel Beispielbeschreibung
    Objekt-Objekt-Beziehungen Angriffsmuster Malware Diese Beziehung beschreibt, dass dieses Angriffsmuster zur Bereitstellung dieser Malware-Instanz (oder -Familie) verwendet wird.
    Objekt-Indikator-Beziehungen Indikator Angriffsmuster, Kampagne, Infrastruktur, Angriffssatz, Malware, Bedrohungsakteur, Tool Diese Beziehung beschreibt, dass der Indikator Beweise für das zugehörige Angriffsmuster, die Kampagne, die Infrastruktur, den Angriffssatz, die Malware, den Bedrohungsakteur oder das Tool erkennen kann.

    Der Nachweis ist möglicherweise nicht direkt. Beispielsweise kann der Indikator sekundäre Beweise für die Kampagne erkennen, z. B. Malware, die häufig von dieser bestimmten Kampagne verwendet wird.
    Objekt-Erkennbares Element-Beziehungen Infrastruktur Beobachtete Daten Diese Beziehung beschreibt, dass der Indikator basierend auf Informationen aus einem beobachteten Datenobjekt erstellt wird.

    Ein Beispiel für eine definierte Beziehung zwischen Objekt und erkennbarem Element ist, dass eine Infrastruktur aus im Internet erkennbaren Objekten besteht, die Informationen zu einem potenziellen Angriff bereitstellen.