Objetos de relacionamentos
Use os objetos Relacionamentos para vincular dois observáveis ou um observável e SDO para explicar como eles se relacionam entre si.
SROs (STIX Relationship Objects, objetos de relacionamento do STIX) representam tipos de relacionamentos entre vários objetos do STIX. Os seguintes objetos de relacionamento estão disponíveis:
- Relacionamento observável-observável : Este objeto define relacionamentos entre observáveis.
- Relacionamento objeto-objeto : Este objeto define relacionamentos entre SDOs, exceto o objeto indicador. Um exemplo de um relacionamento definido objeto-objeto é que um padrão de ataque entrega um malware.
- Relacionamento objeto-observável : Este objeto define relacionamentos entre SDOs e o objeto observável (SCO). Um exemplo de um relacionamento definido objeto observável é que uma infraestrutura consiste em objetos observáveis cibernéticos que fornecem informações de um possível ataque.
- Relacionamento objeto-indicador : Este objeto define relacionamentos entre SDOs e o objeto indicador.
- Relacionamentos Indicador-Indicador : Este objeto define relacionamentos entre objetos indicadores.
- Relacionamento indicador-observável : Este objeto define relacionamentos entre o objeto indicador e outros SDOs. Um exemplo de um relacionamento definido por objeto-indicador é que um indicador detecta evidências de uma campanha.
| Objeto de relacionamento | Origem de exemplo | Destino de exemplo | Descrição de exemplo |
|---|---|---|---|
| Relacionamentos observável-observável | Endereço IP, nome do domínio | Este relacionamento descreve entre os observáveis. | |
| Relacionamentos objeto-objeto | Padrão de ataque | Malware | Este relacionamento descreve que este padrão de ataque é usado para entregar esta instância (ou família) de malware. |
| Relacionamentos objeto-observável | Este relacionamento descreve entre os objetos e os observáveis. | ||
| Relacionamentos objeto-indicador | Indicador | Ataque-padrão, Campanha, Infraestrutura, Conjunto de Intrusão, Malware, agente de ameaças, ferramenta | Este relacionamento descreve que o indicador pode detectar evidências do padrão de ataque relacionado, campanha, infraestrutura, conjunto de invasão, malware, agente ou ferramenta de ameaça. As evidências podem não ser diretas. Por exemplo, o indicador pode detectar evidências secundárias da campanha, como malware que é comumente usado por essa campanha específica. |
| Indicador - Relacionamentos do indicador | Infraestrutura | Dados observados | Este relacionamento descreve que o indicador é criado com base nas informações de um objeto de dados observado. Um exemplo de um relacionamento definido objeto observável é que uma infraestrutura consiste em objetos observáveis cibernéticos que fornecem informações de um possível ataque. |
| Indicador observável | Este relacionamento descreve entre os indicadores e os observáveis. |