Qu'est-ce que STIX/TAXII ?

La norme industrielle pour le partage de renseignements sur les menaces.

STIX/TAXII est né de la nécessité de disposer d'une norme d'échange de renseignements sur les menaces.

STIX et TAXII sont des normes élaborées dans le but d'améliorer la prévention et l'atténuation des cyberattaques. STIX définit le "quoi" des renseignements sur les menaces, tandis que TAXII définit "comment" ces informations sont relayées. Contrairement aux méthodes de partage précédentes, STIX et TAXII sont lisibles par une machine et donc facilement automatisables.

STIX/TAXII vise à améliorer les mesures de sécurité de plusieurs manières :

Étendre les capacités de l'échange actuel de renseignements sur les menaces
Équilibrer la réponse et la détection proactive
Encourager une approche holistique du renseignement sur les menaces

STIX

STIX, abréviation de Structured Threat Information eXpression, est un langage normalisé développé par MITRE et le comité technique OASIS Cyber Threat Intelligence (CTI) pour décrire les informations sur les cybermenaces. Il a été adopté comme norme internationale par diverses communautés et organisations de partage de renseignements. Il est conçu pour être partagé via TAXII mais peut l'être par d'autres moyens. STIX est structuré de manière à ce que les utilisateurs puissent décrire la menace :

Motivations
Capacités
Capacités
Réponse

TAXII

TAXII, abréviation de Trusted Automated eXchange of Intelligence Information, définit la manière dont les informations sur les cybermenaces peuvent être partagées par le biais de services et d'échanges de messages. Il est conçu spécifiquement pour prendre en charge les informations STIX, ce qu'il fait en définissant une API qui s'aligne sur les modèles de partage courants. Les trois principaux modèles de TAXII sont les suivants

  • Un hub et des rayons - un seul dépôt d'informations
  • Source/abonné - une seule source d'information
  • Peer-to-peer - plusieurs groupes partagent des informations

TAXII définit quatre services. Les utilisateurs peuvent en sélectionner et en mettre en œuvre autant qu'ils le souhaitent, et les combiner pour différents modèles de partage.

  • Découverte - un moyen d'apprendre quels sont les services pris en charge par une entité et comment interagir avec eux
  • Gestion des collections - un moyen de s'informer sur les collections de données et de demander des abonnements à celles-ci
  • Boîte de réception - un moyen de recevoir du contenu (messagerie push)
  • Sondage - un moyen de demander du contenu (pull messaging)

Cas d'utilisation STIX/TAXII

STIX/TAXII prend en charge une variété de cas d'utilisation concernant la gestion des cybermenaces. STIX/TAXII a été largement adopté par les gouvernements et les centres de partage et d'analyse de l'information (ISAC), dont le champ d'action s'étend de l'industrie à la géolocalisation.

Partage d'informations catégorisées

Les organisations peuvent pousser et tirer des informations dans des catégories. Par exemple, si un secteur subit une attaque de phishing ciblée, il peut partager cette information dans la catégorie phishing de l'ISAC. D'autres organisations peuvent automatiquement ingérer ces informations et renforcer leurs propres défenses.

Partage avec des groupes

Les organisations disposant d'un client TAXII peuvent envoyer et recevoir des informations sur les serveurs TAXII des groupes de partage de confiance. Certaines organisations peuvent avoir accès à des groupes privés au sein de ces ISAC qui fournissent des informations plus détaillées.

Outils STIX/TAXII

Anomali propose un utilitaire appelé STAXX qui vous permet de vous abonner facilement à n'importe quel flux STIX/TAXII et d'envoyer des indicateurs via STIX/TAXII gratuitement. Démarrez en trois étapes simples :

L'ouverture d'un compte sur le portail STAXX permet aux utilisateurs d'établir un lien entre un indicateur de compromission (IOC) et des informations qui identifient les acteurs de la menace, les campagnes et les TTP. STAXX est également préinstallé avec un flux, Limo. Les utilisateurs peuvent également accéder à d'autres flux de renseignements sur les menaces Anomali ainsi qu'à des fonctions de prévisualisation de la plateforme de renseignements sur les menaces Anomali, ThreatStream.

Ressources en ligne STIX/TAXII

Il y a de nombreuses façons de s'impliquer dans STIX/TAXII. Si vous souhaitez vous engager avec la communauté et contribuer aux efforts de création, vous pouvez rejoindre un comité au sein de l'OASIS TC. Si vous souhaitez en savoir plus sur STIX/TAXII, voici quelques ressources supplémentaires :

Vous voulez en savoir plus ?

Pour plus d'informations sur STIX/TAXII, téléchargez le document.