Objets de relations
Utilisez les objets de relations pour lier deux observables ou un observable et SDO pour expliquer comment ils sont liés l’un à l’autre.
Les objets de relation STIX (SRO) représentent des types de relations entre divers objets STIX. Les objets de relation suivants sont disponibles :
- Relation observable-observable : cet objet définit les relations entre les observables.
- Relation objet-objet : cet objet définit les relations entre les SDO, à l’exception de l’objet indicateur. Un exemple de relation définie objet-objet est qu’un modèle d’attaque livre un logiciel malveillant.
- Relation objet-observable : cet objet définit les relations entre les SDO et l’objet observable (SCO). Un exemple de relation définie objet-observable est qu’une infrastructure se compose d’objets cyber-observables qui fournissent des informations sur une attaque potentielle.
- Relation objet-indicateur : cet objet définit les relations entre les SDO et l’objet indicateur.
- Relations indicateur-indicateur : cet objet définit les relations entre les objets d’indicateur.
- Relation indicateur-observable : cet objet définit les relations entre l’objet indicateur et d’autres SDO. Un exemple de relation définie objet-indicateur est qu’un indicateur détecte la preuve d’une campagne.
| Objet de relation | Exemple de source | Exemple de cible | Exemple de description |
|---|---|---|---|
| Relations observable-observable | Adresse IP, nom de domaine | Cette relation décrit les observables. | |
| Relations objet-objet | Modèle d’attaque | Programme malveillant | Cette relation décrit que ce modèle d’attaque est utilisé pour livrer cette instance (ou famille) de programme malveillant. |
| Relations objet-observable | Cette relation décrit les objets et les observables. | ||
| Relations objet-indicateur | Indicateur | Modèle d’attaque, Campagne, Infrastructure, Ensemble d’intrusion, Programme malveillant, Acteur de menace, Outil | Cette relation décrit que l’indicateur peut détecter des preuves du modèle d’attaque, de la campagne, de l’infrastructure, de l’ensemble d’intrusion, du programme malveillant, de l’acteur de menace ou de l’outil associés. Les preuves peuvent ne pas être directes. Par exemple, l’indicateur peut détecter des preuves secondaires de la campagne, telles que des logiciels malveillants couramment utilisés par cette campagne particulière. |
| Indicateur : relations indicateur | Infrastructure | Données observées | Cette relation indique que l’indicateur est créé en fonction des informations provenant d’un objet de données observé. Un exemple de relation définie objet-observable est qu’une infrastructure se compose d’objets cyber-observables qui fournissent des informations sur une attaque potentielle. |
| Indicateur : observable | Cette relation décrit les entre les indicateurs et les observables. |