STIX/TAXII とは

STIX/TAXII とは?

脅威インテリジェンスを共有するための業界規格です。

脅威インテリジェンス(TI)共有規格の必要性

STIX と TAXII は、サイバー攻撃の予防と対策を強化するために考案された規格です。STIX は脅威インテリジェンスの内容を記述し、TAXII はこの情報をどのように伝達するかを規定します。従来の共有方法と違い、STIX と TAXII は機械による読み込みが可能なため、簡単に自動化できます。

STIX/TAXII は複数の方法によりセキュリティ対策を強化します。

  • 現在の脅威インテリジェンス共有機能を拡張
  • 事前検出によるバランスのとれた対応
  • 脅威インテリジェンスへの総合的なアプローチ

STIX/TAXII の開発はコミュニティ主導でオープンに進められてきました。サイバー脅威情報の自動記述を支援するために規格が無料で提供されています。両規格とも、開発者とアナリストが参加する活発なコミュニティがあります。

STIX

STIX は「Structured Threat Information eXpression」の略であり、 MITREOASIS サイバー脅威インテリジェンス(CTI)技術委員会がサイバー脅威情報の記述のために開発した標準化言語です。複数のインテリジェンス共有コミュニティや組織に国際規格として採用されています。TAXII による共有を念頭に置いて設計されていますが、他の方法でも共有できます。STIX はユーザーが脅威の次のような点を記述できるように構造化されています。

  • 動機
  • 能力
  • 機能
  • 対応

TAXII

TAXII は「Trusted Automated eXchange of Intelligence Information」の略で、サイバー脅威情報をサービスやメッセージ交換経由にて共有する方法を規定します。STIX 情報のサポートに特化して設計されており、一般的な共有モデルに沿った API を定義することでこれを実現します。TAXII には次の 3 つの原則があります。

  1. ハブとスポーク :単一の情報リポジトリ
  2. ソース/サブスクライバ :単一の情報源
  3. ピアツーピア :複数のグループによる情報共有

TAXII は次の 4 つのサービスを定義します。ユーザーは必要なサービスを選んで実装し、それらを組み合わせてさまざまな共有モデルを構築できます。

  1. Discovery :エンティティがサポートするサービスおよびそのエンティティとの通信方法を確認する
  2. Collection Management :データコレクションを確認し、サブスクリプションをリクエストする
  3. Inbox :コンテンツを配信する(プッシュ型のメッセージ)
  4. Poll :コンテンツをリクエストし取得する(プル型のメッセージ)

使用例

STIX/TAXII は、サイバー脅威の管理に関するさまざまなユースケースをサポートします。各国政府や情報共有分析センター(ISAC)に幅広く採用されており、業界別から地域別までさまざまです。


分類された情報の共有

組織はさまざまなカテゴリに情報を配信(プッシュ)したり、そこから取得(プル)したりすることができます。たとえば、ある業界で標的型フィッシング攻撃が発生した場合は、ISAC のフィッシングカテゴリ内でこの情報を共有できます。他の組織はこのインテリジェンスを自動的に取り込み、独自に防御を強化できます。

Sharing Categorized Information

グループとの共有

TAXII クライアントを使用する組織は、信頼できる共有グループの TAXII サーバーに対して情報のプッシュとプルが可能です。組織によっては、これらの ISAC 内でより詳細な情報を提供するプライベートグループにアクセスできる場合もあります。

Sharing With Groups

STIX/TAXII ツール

Anomali が提供するユーティリティ STAXX により、無料であらゆる STIX/TAXII フィードを簡単にサブスクライブし、STIX/TAXII 経由で IOC をプッシュすることができます。始めるための手順は次のとおりです。

  1. STAXX クライアントのダウンロード
  2. データソースの設定
  3. ダウンロードスケジュールの設定

STAXX ポータルでアカウント登録すると、侵害の痕跡(IOC)を脅威のアクター、キャンペーン、TTP を特定する情報と関連付けることができます。STAXX には、Limo. というフィードがあらかじめ設定されています。その他の Anomali 脅威インテリジェンスフィードや Anomali の脅威インテリジェンスプラットフォーム ThreatStream のプレビュー機能にアクセスすることもできます。.

 

オンラインリソース

STIX/TAXII への参加にはさまざまな方法があります。コミュニティに関与し、作成に携わりたい場合は、OASIS TC 内の委員会に参加できます。STIX/TAXII について詳しく知りたい場合は、以下のリソースが参考になります。

Whitepaper

さらに詳しく

STIX/TAXII についてさらに詳しく知りたい場合は、ホワイトペーパーをダウンロードしてください。