STIX/TAXII, qu’est-ce que c’est ? | Anomali

Que sont STIX/TAXII

La norme de l'industrie pour le partage de renseignements sur les menaces.

La Nécessité d'une Norme pour le Partage de Renseignements sur les Menaces

STIX et TAXII sont des normes élaborées dans le but d'améliorer la prévention et l'atténuation des cyber-attaques. STIX indique le « quoi » des renseignements sur les menaces, tandis que TAXII définit « comment » cette information est relayée. Contrairement aux méthodes de partage précédentes, STIX et TAXII sont lisibles à la machine et donc facilement automatisées.

STIX/TAXII visent à améliorer les mesures de sécurité de plusieurs manières :

  • En étendant les capacités du partage actuel de renseignements sur les menaces
  • En équilibrant la réponse avec une détection proactive
  • En encourageant une approche globale des renseignements sur les menaces

STIX/TAXI, établis en source libre grâce aux efforts de la communauté, fournissent des précisions gratuites pour assister à l’expression automatisée des renseignements sur les cyber-menaces. Les deux bénéficient d’une communauté active de développeurs et d’analystes.

STIX TAXII
STIX

STIX

STIX, abréviation de Structured Threat Information eXpression, est un langage normalisé développé par MITRE et OASIS Cyber Threat Intelligence (CTI) Technical Committee Le Comité technique pour les renseignements sur la cyber-menace, dans le but de décrire les informations relatives aux cyber-menaces. Il a été adopté comme norme internationale par diverses communautés et organisations partageant des renseignements. Il est conçu pour être partagé via TAXII, mais peut l'être par d’autres moyens. STIX est structuré de telle manière que les utilisateurs peuvent décrire les attributs suivants d'une menace :

  • ​Motivations
  • ​Aptitudes
  • ​Capacités
  • ​Réactions

TAXII

TAXII, acronyme de « Trusted Automated eXchange of Intelligence Information », définit la façon dont les informations relatives aux cyber-menaces peuvent être partagées via les services et l'échange de messages. TAXII est conçu spécifiquement pour prendre en charge les informations STIX, ce qu'il fait en définissant une API qui s'aligne sur les modèles de partage courants. Les trois principaux modèles de TAXII comprennent :

  1. Le réseau en étoile (hub and spoke) – un référentiel d’informations
  2. Source/abonné – une seule source d’information
  3. Pair-à-pair (P2P) – plusieurs groupes partagent les informations

TAXII définit quatre services. Les utilisateurs peuvent sélectionner et appliquer autant de ces services dont ils auraient besoin, et les associer afin de réaliser différents modèles de partage.

  1. Découverte – un moyen d'apprendre quels services une entité prend en charge et comment interagir avec eux.
  2. Gestion des collections – un moyen de découvrir et de solliciter des abonnements auprès de collections de données
  3. Boîte de réception – un moyen de recevoir du contenu (notification push serveur)
  4. Sondage – un moyen de demander du contenu
Modèle de partage flexible

Cas d'Utilisation

STIX/TAXII prend en charge une variété de cas d'utilisation concernan la gestion des cyber-menaces. STIX/TAXII a été largement adopté par les gouvernements et les Information Sharing and Analysis Centers (ISACs), Centres de partage et d'analyse de l'information, se focalisant de l'industrie à la géolocalisation.


Le Partage d’Informations Catégorisées

Les organisations peuvent trier les informations en mode “push” et “pull”, par catégories. Par exemple, si un secteur subit une attaque de hameçonnage ciblée, celui-ci peut partager cette information avec la catégorie hameçonnage de l’ISAC. D’autres organisations peuvent automatiquement ingérer ces renseignements et renforcer leurs propres défenses.

Partage d’informations catégorisées

Partage avec des Groupes

Les organisations ayant un client TAXII peuvent pousser et tirer des informations en mode « push » et « pull » dans les serveurs TAXII de groupes de partage de confiance. Certaines organisations peuvent avoir accès à des groupes privés au sein de ces ISAC, qui fournissent des informations plus détaillées.

Partage avec des groupes

Les Outils ​STIX/TAXII

Anomali fournit un utilitaire appelé STAXX qui vous permet de vous abonner facilement à tout flux STIX/TAXII et d’envoyer gratuitement des indicateurs via STIX/TAXII. Pour démarrer, il suffit de :

  1. Télécharger le client STAXX
  2. Configurer vos sources de données
  3. Mettre en place votre calendrier de téléchargement

L'ouverture d'un compte sur le portail STAXX permet aux utilisateurs d'associer un IOC (Indicateur de Compromis) à une information qui identifie les acteurs, les campagnes et les TTP. STAXX est également pré-configuré avec un flux, Limo. Les utilisateurs peuvent également accéder à des flux d'informations supplémentaires sur les menaces, d'Anomali, et prévisualiser les fonctionnalités de ThreatStream, la plate-forme de renseignements sur les menaces, d'Anomali.

 

Les Ressources en Ligne

Il y a plusieurs façons de s'impliquer avec STIX/TAXII. Si vous souhaitez vous engager avec la communauté et contribuer aux efforts de création, vous pouvez rejoindre un comité au sein d'OASIS TC. Si vous souhaitez en savoir davantage à propos de STIX/TAXII, voici quelques ressources supplémentaires :

STIX/TAXII, qu’est-ce que c’est ?

Vous voulez en savoir plus ?

Pour obtenir encore plus d'informations sur STIX/TAXII, téléchargez le livre blanc.

Le lire maintenant