TISC の主要な用語
以下に定義する用語は、脅威インテリジェンスセキュリティセンター (TISC) 全体で使用されます。
| 用語 | 定義 |
|---|---|
| データ処理 | 脅威インテリジェンスプラットフォーム (TIP) は、さまざまなソースやパターンから脅威インテリジェンスデータを収集、集計、整理するテクノロジーソリューションです。脅威インテリジェンスは、攻撃者のターゲットや攻撃動作を把握するために収集、処理、分析されるデータです。 |
| 観測事象 | 観測事象は、コンピューターやネットワークの操作に関連するステートフルなプロパティ (ファイルの MD5 ハッシュやレジストリキーの値など) または測定可能なイベント (レジストリキーの作成やファイルの削除など) を表します。詳細については、「観測事象」を参照してください。 |
| インジケーター | インジケーターにはパターンがあり、疑わしいまたは悪意のあるサイバーアクティビティの検出に使用されます。たとえば、インジケーターで一連の悪意のあるドメインを表し、STIX パターン言語でこれらのドメインを指定することができます。 インジケーター SDO には、単純なテキストによる説明、動作を検出するキルチェーンフェーズ、インジケーターが有効または有益となる期間、構造化された検出パターンのキャプチャに必要なパターンプロパティが含まれています。詳細については、「インジケーター」を参照してください。 |
| オブジェクト | STIX ドメインオブジェクト (SDO) のセットを定義します。各 SDO は、サイバー脅威インテリジェンス (CTI) で一般的に表される固有の概念に対応しています。 SDO や STIX 関係オブジェクト (SRO) を構成要素として使用することで、広範かつ包括的なサイバー脅威インテリジェンスを個人で作成および共有できるようになります。詳細については、「TISC ライブラリリポジトリ」を参照してください。 |
| 関係性 | 関係性は、2 つの観測事象や 2 つの SDO、あるいは観測事象と SDO をリンクさせ、オブジェクトがどのように関連しているのかを説明するものとなります。 外部 STIX 関係オブジェクト (SRO) で表したり、深く根付いた関係を構成する識別子参照を格納する特定のプロパティで表したりする場合もあります。詳細については、「関係オブジェクト」を参照してください。 |