stixdoc

STIX（Structured Threat Information Expression）是一种用于交换网络威胁情报（cyber threat intelligence，CTI）的语言和序列化格式。STIX的应用场景包括：协同威胁分析、自动化威胁情报交换、自动化威胁检测和响应等。

STIX对网络威胁情报的描述方法如下：

STIX Objects						STIX Bundle Objects
STIX Core Objects			STIX Meta Objects
STIX Domain Objects（SDO）	STIX Cyber-observable Objects（SCO）	STIX Relationship Objects（SRO）	Extension Definition Objects	Language Content Objects	Marking Definition Objects

---

资料整理

威胁情报

​ 威胁情报的核心概念

​ 威胁情报的分类

​ 威胁情报的相关标准：STIX™和TAXII™

​ 威胁情报定义

​ 威胁情报的价值呈现

​ 威胁情报和ATT&CK™模型

STIX

​ 威胁画像：对STIX2.0标准12个构件的解读

​ 《信息安全技术网络安全威胁信息格式规范》(GB/T 36643-2018)

​ 字典 STIX标准 身份的类别(identity_class)

​ 字典 STIX标准 行业领域(Sectors)

​ 字典 STIX标准 恶意软件类型

​ 字典 威胁源标签

​ 字典 攻击动机

​ SRO Relationship 关系摘要表

笔记

• Malware: 恶意软件相关内容

关键字说明：

• SDO：STIX Domain Objects

• SCO: STIX Cyber-observable Objects威胁情报中具体的可观察对象，用于刻画基于主机或基于网络的信息。

• SRO: STIX Relationship Objects

• TTP: 攻击技术手法

• 可观察对象：可以是动态的事件，也可以是静态的资产，例如HTTP会话、X509证书、文件、系统配置项等。