¿Qué son los STIX/TAXII?

El estándar del sector para compartir información sobre amenazas.

__wf_reserved_heredar__wf_reserved_heredar
__wf_reserved_heredar
__wf_reserved_heredar

STIX/TAXII: Estándares de intercambio de inteligencia sobre amenazas

STIX y TAXII son estándares desarrollados en un esfuerzo por mejorar la prevención y la mitigación de los ciberataques. STIX establece el «qué» de la inteligencia de amenazas, mientras que el TAXII define «cómo» se transmite esa información. A diferencia de los métodos anteriores de intercambio, STIX y TAXII son legibles por máquinas y, por lo tanto, se automatizan fácilmente.

STIX/TAXII tiene como objetivo mejorar las medidas de seguridad de varias maneras:

__wf_reserved_heredar
Amplíe las capacidades del intercambio actual de inteligencia sobre amenazas
__wf_reserved_heredar
Equilibre la respuesta con la detección proactiva
__wf_reserved_heredar
Fomentar un enfoque holístico de la inteligencia de amenazas
__wf_reserved_heredar
__wf_reserved_heredar

STIX

STIX, abreviatura de Structured Threat Information Expression, es un lenguaje estandarizado desarrollado por MITRA y el Comité técnico de inteligencia sobre amenazas cibernéticas (CTI) de OASIS para describir la información sobre ciberamenazas. Ha sido adoptado como estándar internacional por varias comunidades y organizaciones de intercambio de inteligencia. Está diseñado para compartirse a través de TAXII, pero se puede compartir por otros medios. STIX está estructurado para que los usuarios puedan describir la amenaza:

__wf_reserved_heredar
Motivaciones
__wf_reserved_heredar
Habilidades
__wf_reserved_heredar
Capacidades
__wf_reserved_heredar
Respuesta
__wf_reserved_heredar
__wf_reserved_heredar

TAXI

TAXII, abreviatura de Trusted Automated Exchange of Intelligence Information, define cómo se puede compartir la información sobre ciberamenazas a través de servicios e intercambios de mensajes. Está diseñado específicamente para admitir la información de STIX, lo que logra mediante la definición de una API que se alinea con los modelos de intercambio comunes. Los tres modelos principales de TAXII incluyen:

  • Hub y radio — un repositorio de información
  • Fuente/suscriptor — una única fuente de información
  • De igual a igual — varios grupos comparten información

TAXII define cuatro servicios. Los usuarios pueden seleccionar e implementar tantos como necesiten y combinarlos para crear diferentes modelos de uso compartido.

  • Descubrimiento — una forma de saber qué servicios admite una entidad y cómo interactuar con ellos
  • Gestión de colecciones — una forma de obtener información sobre las recopilaciones de datos y solicitar suscripciones a ellas
  • bandeja de entrada — una forma de recibir contenido (mensajes push)
  • Encuesta — una forma de solicitar contenido (mensajes de extracción)
__wf_reserved_heredar
__wf_reserved_heredar

Casos de uso de STIX/TAXII

STIX/TAXII admite una variedad de casos de uso relacionados con la gestión de ciberamenazas. El STIX/TAXII ha sido ampliamente adoptado por gobiernos y Centros de análisis e intercambio de información (ISACS), que van desde la industria hasta la geolocalización.

Compartir información categorizada

Las organizaciones pueden incluir y agrupar la información en categorías. Por ejemplo, si un sector sufre un ataque de suplantación de identidad dirigido, pueden compartir esa información dentro de la categoría de suplantación de identidad del ISAC. Otras organizaciones pueden incorporar automáticamente esa información y reforzar sus propias defensas.

__wf_reserved_heredar

Compartir con grupos

Las organizaciones con un cliente TAXII pueden insertar y extraer información en los servidores TAXII de los grupos de intercambio de confianza. Algunas organizaciones pueden tener acceso a grupos privados dentro de estos ISAC que proporcionan información más detallada.

__wf_reserved_heredar
__wf_reserved_heredar

Herramientas STIX/TAXII

Anomali proporciona una utilidad llamada STAXX que le permite suscribirse fácilmente a cualquier feed de STIX/TAXII y enviar indicadores a través de STIX/TAXII de forma gratuita. Empieza en tres sencillos pasos:

La creación de una cuenta en el portal STAXX permite a los usuarios vincular desde un indicador de compromiso (IOC) a la información que identifica a los actores de amenazas, las campañas y los TTP. STAXX también viene preconfigurado con un feed, ThreatStream.

__wf_reserved_heredar
__wf_reserved_heredar

Recursos STIX/TAXII en línea

Hay muchas maneras de participar en STIX/TAXII. Si quieres interactuar con la comunidad y contribuir a los esfuerzos de creación, puedes unirte a un comité del OASIS TC. Si quieres obtener más información sobre STIX/TAXII, aquí tienes algunos recursos adicionales:

Descripción general de STIX/TAXII

__wf_reserved_heredar
GitHub
__wf_reserved_heredar
Wiki de OASIS CTI TC

Herramientas STIX/TAXII gratuitas

__wf_reserved_heredar
STAXX

ESTIX

__wf_reserved_heredar
Información sobre las diferencias entre STIX 1.x/CyBox 2.x y STIX 2.0 (GitHub)

TAXI

__wf_reserved_heredar
Listas de correo de debate y anuncios de TAXII
__wf_reserved_heredar
Biblioteca de Python para administrar los mensajes y servicios de TAXII (GitHub)

More STIX/TAXII Resources

Check out other resources from Anomali on STIX/TAXII and threat intelligence sharing.

SEe all Resources
BLOG

Mejorando la inteligencia de amenazas y las operaciones de seguridad con las últimas innovaciones de Anomali

Learn More
BLOG

Novedades de ThreatStream: fuentes de inteligencia sobre amenazas de Certego

Learn More
BLOG

Construir la defensa definitiva requiere una dieta equilibrada de inteligencia de amenazas

Learn More
__wf_reserved_heredar

¿Quieres saber más?

Para obtener más información sobre STIX/TAXII, descargue el documento.

LEA EL ARTÍCULO DE STIX/TAXII
__wf_reserved_heredar
__wf_reserved_heredar
__wf_reserved_heredar