Relations

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 1 minute de lecture

    • Utilisez les objets de relation pour relier deux SDO ou objets cyber-observables (SCO) STIX afin de décrire leur relation l’un avec l’autre.

    Les objets de relation STIX (SRO) représentent les types de relations entre divers objets STIX. Les objets de relation suivants sont disponibles :
    • Relation objet-objet : cet objet définit les relations entre les SDO, à l’exception de l’objet indicateur. Un exemple de relation définie objet-objet est qu’un modèle d’attaque délivre un logiciel malveillant.
    • Relation objet-indicateur : cet objet définit les relations entre l’objet indicateur et les autres SDO. Voici un exemple de relation entre un objet et un indicateur défini : un indicateur détecte la preuve d’une campagne.
    • Relation objet-observable : cet objet définit les relations entre les SDO et l’objet observable (SCO). Un exemple de relation définie objet-observable est qu’une infrastructure se compose d’objets cyberobservables qui fournissent des informations sur une attaque potentielle.
    Tableau 1. Relations d’objet STIX
    Objet de relation Source de l’exemple Exemple de cible Exemple de description
    Relations objet-objet Modèle d’attaque Programme malveillant Cette relation indique que ce modèle d’attaque est utilisé pour livrer cette instance (ou cette famille de programmes malveillants).
    Relations objet-indicateur Indicateur Modèle d’attaque, Campagne, Infrastructure, Ensemble d’intrusion, Logiciel malveillant, Acteur de menace, Outil Cette relation indique que l’indicateur peut détecter des preuves du modèle d’attaque, de la campagne, de l’infrastructure, du jeu d’intrusion, du programme malveillant, de l’acteur de menace ou de l’outil associé.

    La preuve peut ne pas être directe. Par exemple, l’indicateur peut détecter des preuves secondaires de la campagne, telles que des programmes malveillants couramment utilisés par cette campagne particulière.
    Relations objet-observable Infrastructure Données observées Cette relation indique que l’indicateur est créé en fonction des informations provenant d’un objet de données observé.

    Un exemple de relation définie objet-observable est qu’une infrastructure se compose d’objets cyberobservables qui fournissent des informations sur une attaque potentielle.