Objetos de relacionamentos
Use os objetos de relacionamentos para vincular dois observáveis ou um observável e o SDO para explicar como eles se relacionam entre si.
Os objetos de relacionamento STIX (SROs) representam tipos de relacionamentos entre vários objetos STIX. Os seguintes objetos de relacionamento estão disponíveis:
- Relacionamento observável-observável: este objeto define relacionamentos entre observáveis.
- Relacionamento objeto-objeto: este objeto define relacionamentos entre SDOs, exceto o objeto de indicador. Um exemplo de um relacionamento definido por objeto-objeto é que um padrão de ataque entrega um malware.
- Relacionamento objeto-observável: este objeto define relacionamentos entre SDOs e o objeto observável (SCO). Um exemplo de um relacionamento definido de objeto-observável é que uma infraestrutura consiste em objetos observáveis cibernéticos que fornecem informações de um possível ataque.
- Relacionamento entre objeto e indicador: este objeto define os relacionamentos entre SDOs e o objeto do indicador.
- Relacionamentos indicador-indicador: este objeto define relacionamentos entre objetos de indicador.
- Relacionamento indicador-observável: este objeto define relacionamentos entre o objeto de indicador e outros SDOs. Um exemplo de um relacionamento definido por objeto-indicador é quando um indicador detecta evidências de uma campanha.
| Objeto de relacionamento | Origem de exemplo | Exemplo de destino | Descrição de exemplo |
|---|---|---|---|
| Relacionamentos observável-observável | Endereço IP, nome do domínio | Este relacionamento descreve entre os observáveis. | |
| Relacionamentos objeto-objeto | Padrão de ataque | Malware | Este relacionamento descreve que este padrão de ataque é usado para entregar esta instância de malware (ou família). |
| Relacionamentos objeto-observável | Este relacionamento descreve entre os objetos e os observáveis. | ||
| Relacionamentos objeto-indicador | Indicador | Padrão de ataque, Campanha, Infraestrutura, Conjunto de intrusão, Malware, Agente de ameaça, Ferramenta | Esse relacionamento descreve que o indicador pode detectar evidências do padrão de ataque, campanha, infraestrutura, conjunto de intrusão, malware, agente de ameaça ou ferramenta relacionada. A evidência pode não ser direta. Por exemplo, o indicador pode detectar evidências secundárias da campanha, como malware que é comumente usado por essa campanha específica. |
| Indicador - Relacionamentos do indicador | Infraestrutura | Dados observados | Este relacionamento descreve que o indicador é criado com base em informações de um objeto de dados observado. Um exemplo de um relacionamento definido de objeto-observável é que uma infraestrutura consiste em objetos observáveis cibernéticos que fornecem informações de um possível ataque. |
| Indicador-Observável | Este relacionamento descreve entre os indicadores e os observáveis. |