STIXおよび TAXIIはサイバー攻撃を予防し軽減するために開発された基準です。

STIX/TAXIIとは?

脅威インテリジェンスの共有のための業界標準

TI共有用スタンダードの必要性

STIXおよび TAXIIはサイバー攻撃を予防し軽減するために開発された基準です。 STIX は脅威インテリジェンスの “WHAT”を示し、TAXII はその情報がどのように伝播するかを定義します。 以前の共有方法とは異なり、STIXおよびTAXIIは機械による読み込みが可能なので、簡単に自動化できます。

STIX/TAXIIはいくつかの方法でセキュリティ対策を改善することを目指しています:

  • 現在の 脅威インテリジェンス共有の機能を拡張
  • 事前検出によるバランスのとれた対応
  • 脅威インテリジェンスへの全体的アプローチを促進

STIX/TAXIIは、オープンなコミュニティによる取り組みです。無料提供としてサイバー脅威情報発信の自動化をサポートします。 また、開発者とアナリストの活発なコミュニティがあります。

STIX TAXII
STIX

STIX

STIXは Structured Threat Information eXpressionの略でMITRE およびOASIS Cyber Threat Intelligence (CTI) Technical Committeeによって開発されたサイバー脅威情報の表現のための標準言語です。 いくつものインテリジェンス共有コミュニティや組織で国際標準として採用されています。 TAXIIによる共有を意図していますが、ほかの方法でも共有可能です。 STIXはユーザが脅威を説明できるように構築されています:

  • モチベーション
  • 能力
  • 性能
  • レスポンス

TAXII

TAXIIはTrusted Automated eXchange of Intelligence Informationの略で、サイバー脅威情報がどのようにサービスやメッセージの交換を通じて共有されていくかを定義します。 通常のシェアリングモデルに合わせたAPIを定義することにより、特にSTIXデータをサポートするように設計されています。 TAXII の3つの主要モデルは次の通りです:

  1. ハブとスポーク –単一の情報リポジトリ
  2. ソース/登録者 – 単一の情報ソース
  3. ピアツーピア – 複数のグループが情報を共有

TAXIIには次の4つのサービスを定義します: ユーザは、必要なだけ選択・実装して、さまざまな共有モデルに合わせて組み合わせることができます。

  1. 発見 –団体がサポートしているサービスを知り、団体とのやり取りの方法を学ぶ方法。
  2. コレクション管理 – 様々なデータ収集について知り、登録申請する方法。
  3. インボックス – コンテンツを受け取る方法 (プッシュ通知)
  4. 投票 – コンテンツをリクエストする方法(プル通知)
柔軟な共有モデル

使用例

STIX/TAXII はサイバー脅威管理についての使用例をいくつかサポートしています。 STIX/TAXII は広く政府や情報共有・分析センター (ISAC)に採用されています。ISACには、様々な業界や地域に特化したものがあります。


分類された情報の共有

組織は特定のカテゴリに情報をプッシュまたはプルすることできます。 例えば、一つの業界が集中的にフィッシング攻撃を受けたら、この情報をISACのフィッシングカテゴリで共有できます。 他の組織は自動的にそのインテリジェンスを取り込み、防御をリッチ化することができます。

分類された情報の共有

グループと共有

TAXII クライアントを持つ組織は、信用できる共有グループのTAXIIサーバに情報をプッシュもしくはプルできます。 これらのISACの内の、より詳細な情報を提供するプライベートのグループにアクセスできる組織があります。。

グループと共有

STIX/TAXII ツール

AnomaliはSTAXX というユーティリティを提供しています。これがあれば、どんなSTIX/TAXIIフィード にも簡単に登録して、STIX/TAXII を介して無料でIOCをプッシュすることができます。 始めるのは簡単です:

  1. STAXXクライアントをダウンロード
  2. データソースを設定
  3. ダウンロードスケジュールを設定

STAXXポータルにアカウント登録すると、ユーザーはIndicator of Compromise (IOC)から脅威のアクターやキャンペーンTTPを識別する情報にリンクできるようになります。 またSTAXX には、Limoというフィードがあらかじめセットアップされています。 ユーザは他のAnomali 脅威インテリジェンス・フィードにもアクセスでき、Anomaliの 脅威インテリジェンスプラットフォームThreatStreamをの機能をプレビューできます。

 

オンライン・リソース

STIX/TAXIIに関わる方法はいろいろあります。 コミュニティに参加し貢献したい場合は、OASIS TC内の委員会 に参加することができます。 STIX/TAXIIについてもっと詳しく見たい場合は下記のリソースを参照ください:

STIX/TAXIIとは?

もっと詳しく知るには

STIX/TAXIIについてさらに詳しく知るには、ホワイトペーパーをダウンロードしてください

今すぐ読む