関係オブジェクト
関係オブジェクトを使用して、2 つの観測事象または観測事象と SDO をリンクし、それらが互いにどのように関連しているかを説明します。
STIX 関係オブジェクト (SRO) は、さまざまな STIX オブジェクト間の関係のタイプを表します。次の関係オブジェクトを使用できます。
- 観測事象と観測事象の関係:このオブジェクトは、観測事象間の関係を定義します。
- オブジェクトとオブジェクトの関係:このオブジェクトは、インジケーターオブジェクトを除く SDO 間の関係を定義します。オブジェクトとオブジェクトで定義された関係の例は、攻撃パターンがマルウェアを配信する関係です。
- オブジェクトと観測事象の関係:このオブジェクトは、SDO と観測事象オブジェクト (SCO) の間の関係を定義します。オブジェクトと観測事象で定義された関係の例は、潜在的な攻撃の情報を提供するサイバー観測事象オブジェクトでインフラストラクチャが構成されている関係です。
- オブジェクトとインジケーターの関係:このオブジェクトは、SDO とインジケーターオブジェクト間の関係を定義します。
- インジケーターとインジケーターの関係:このオブジェクトは、インジケーターオブジェクト間の関係を定義します。
- インジケーターと観測事象の関係:このオブジェクトは、インジケーターオブジェクトと他の SDO の間の関係を定義します。オブジェクトとインジケーターで定義された関係の例は、インジケーターがキャンペーンの証拠を検出する関係です。
| 関係オブジェクト | ソースの例 | ターゲットの例 | 説明の例 |
|---|---|---|---|
| 観測事象と観測事象の関係 | IP アドレス、ドメイン名 | この関係は、観測事象間の関係を表します。 | |
| オブジェクトとオブジェクトのリレーションシップ | 攻撃パターン | マルウェア | この関係は、このマルウェアインスタンス (またはファミリ) を配信するためにこの攻撃パターンが使用されることを示しています。 |
| オブジェクトと観測事象のリレーションシップ | この関係は、オブジェクトと観測事象間の関係を表します。 | ||
| オブジェクトとインジケーターの関係 | インジケーター | 攻撃パターン、キャンペーン、インフラストラクチャ、侵入セット、マルウェア、攻撃者、ツール | この関係は、関連する攻撃パターン、キャンペーン、インフラストラクチャ、侵入セット、マルウェア、攻撃者、またはツールの証拠をインジケーターが検出できることを示しています。 証拠が直接的でない場合があります。たとえば、特定のキャンペーンでよく使用されるマルウェアなど、キャンペーンの二次的証拠をインジケーターで検出することもできます。 |
| インジケーターとインジケーターの関係 | インフラストラクチャ | 観測データ | この関係は、観測されたデータオブジェクトからの情報に基づいてインジケーターが作成されていることを示しています。 オブジェクトと観測事象で定義された関係の例は、潜在的な攻撃の情報を提供するサイバー観測事象オブジェクトでインフラストラクチャが構成されている関係です。 |
| インジケーターと観測事象 | この関係は、インジケーターと観測事象間の関係を表します。 |