Relations

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 1 minute de lecture

    • Utilisez les objets de relation pour relier deux SDO ou objets cyber-observables (SCO) STIX afin de décrire leur relation l’un avec l’autre.

    Les objets de relation STIX (SRO) représentent des types de relations entre divers objets STIX. Les objets de relation suivants sont disponibles :
    • Relation objet-objet : cet objet définit les relations entre les SDO, à l’exception de l’objet indicateur. Un exemple de relation définie objet-objet est qu’un modèle d’attaque livre un logiciel malveillant.
    • Relation objet-indicateur : cet objet définit les relations entre l’objet indicateur et d’autres SDO. Un exemple de relation définie objet-indicateur est qu’un indicateur détecte la preuve d’une campagne.
    • Relation objet-observable : cet objet définit les relations entre les SDO et l’objet observable (SCO). Un exemple de relation définie objet-observable est qu’une infrastructure se compose d’objets cyber-observables qui fournissent des informations sur une attaque potentielle.
    Tableau 1. Relations d’objets STIX
    Objet de relation Exemple de source Exemple de cible Exemple de description
    Relations objet-objet Modèle d’attaque Programme malveillant Cette relation décrit que ce modèle d’attaque est utilisé pour livrer cette instance (ou famille) de programme malveillant.
    Relations objet-indicateur Indicateur Modèle d’attaque, Campagne, Infrastructure, Ensemble d’intrusion, Programme malveillant, Acteur de menace, Outil Cette relation décrit que l’indicateur peut détecter des preuves du modèle d’attaque, de la campagne, de l’infrastructure, de l’ensemble d’intrusion, du programme malveillant, de l’acteur de menace ou de l’outil associés.

    Les preuves peuvent ne pas être directes. Par exemple, l’indicateur peut détecter des preuves secondaires de la campagne, telles que des logiciels malveillants couramment utilisés par cette campagne particulière.
    Relations objet-observable Infrastructure Données observées Cette relation indique que l’indicateur est créé en fonction des informations provenant d’un objet de données observé.

    Un exemple de relation définie objet-observable est qu’une infrastructure se compose d’objets cyber-observables qui fournissent des informations sur une attaque potentielle.