Découvrez
Blogue
soutien

Que sont STIX/TAXII ?

La norme du secteur en matière de partage de renseignements sur les menaces.

STIX/TAXII a été développé pour répondre au besoin d'une norme de partage de renseignements sur les menaces

STIX et TAXII sont des normes développées dans le but d'améliorer la prévention et l'atténuation des cyberattaques. STIX indique le « contenu » des renseignements sur les menaces, tandis que TAXII définit « comment » ces informations sont transmises. Contrairement aux méthodes de partage précédentes, STIX et TAXII sont lisibles par machine et donc facilement automatisables.

STIX/TAXII vise à améliorer les mesures de sécurité de plusieurs manières :

Étendez les capacités du partage actuel de renseignements sur les menaces
Équilibrez la réponse avec une détection proactive
Encourager une approche globale du renseignement sur les menaces

STIX

STIX, abréviation de Structured Threat Information eXpression, est un langage standardisé développé par ONGLET et le Comité technique de renseignement sur les cybermenaces (CTI) d'OASIS pour décrire les informations relatives aux cybermenaces. Il a été adopté comme norme internationale par diverses communautés et organisations de partage de renseignements. Il est conçu pour être partagé via TAXII mais peut être partagé par d'autres moyens. STIX est structuré de manière à ce que les utilisateurs puissent décrire la menace :

Motivations
Capacités
Capacités
Réponse

TAXI

TAXII, abréviation de Trusted Automated eXchange of Intelligence Information, définit comment les informations sur les cybermenaces peuvent être partagées via des services et des échanges de messages. Il est conçu spécifiquement pour prendre en charge les informations STIX, ce qu'il fait en définissant une API qui s'aligne sur les modèles de partage courants. Les trois principaux modèles de TAXII sont les suivants :

  • Hub et rayon — un référentiel d'informations
  • Source/abonné — une source d'information unique
  • D'égal à égal — plusieurs groupes partagent des informations

TAXII définit quatre services. Les utilisateurs peuvent en sélectionner et en implémenter autant qu'ils le souhaitent, puis les combiner pour différents modèles de partage.

  • Découverte — un moyen de savoir quels services une entité prend en charge et comment interagir avec eux
  • Gestion des collections — un moyen d'en savoir plus sur les collectes de données et de demander des abonnements à ces collectes
  • Boîte de réception — un moyen de recevoir du contenu (messagerie push)
  • Sondage — un moyen de demander du contenu (pull messaging)

Cas d'utilisation de STIX/TAXII

STIX/TAXII prend en charge de nombreux cas d'utilisation concernant la gestion des cybermenaces. STIX/TAXII a été largement adopté par les gouvernements et Centres de partage et d'analyse de l'information (ISAC), dont les domaines d'intérêt vont de l'industrie à la géolocalisation.

Partage d'informations catégorisées

Les organisations peuvent regrouper et classer les informations par catégories. Par exemple, si un secteur est victime d'une attaque de phishing ciblée, il peut partager ces informations dans la catégorie hameçonnage de l'ISAC. D'autres organisations peuvent automatiquement ingérer ces renseignements et renforcer leurs propres défenses.

Partage avec des groupes

Les organisations disposant d'un client TAXII peuvent envoyer et extraire des informations vers les serveurs TAXII des groupes de partage fiables. Certaines organisations peuvent avoir accès à des groupes privés au sein de ces ISAC qui fournissent des informations plus détaillées.

Outils STIX/TAXII

Anomali fournit un utilitaire appelé STAXX qui vous permet de vous abonner facilement à n'importe quel flux STIX/TAXII et de diffuser gratuitement des indicateurs via STIX/TAXII. Commencez en trois étapes simples :

La création d'un compte sur le portail STAXX permet aux utilisateurs de créer un lien entre un indicateur de compromission (IOC) et des informations identifiant les acteurs de la menace, les campagnes et les TTP. STAXX est également pré-configuré avec un flux, Limousine. Les utilisateurs peuvent également accéder à des flux de renseignements supplémentaires sur les menaces d'Anomali ainsi qu'à des fonctionnalités de prévisualisation de la plateforme de renseignement sur les menaces d'Anomali, ThreatStream.

Ressources en ligne sur STIX/TAXII

Il existe de nombreuses façons de participer à STIX/TAXII. Si vous souhaitez vous engager dans la communauté et contribuer aux efforts de création, vous pouvez rejoindre un comité au sein de l'OASIS TC. Si vous souhaitez en savoir plus sur STIX/TAXII, voici quelques ressources supplémentaires :

Aperçus de STIX/TAXII

GitHub
Wiki OASIS CTI TC

Outils STIX/TAXII gratuits

STAXX

STIX

Informations sur les différences entre STIX 1.x/Cybox 2.x et STIX 2.0 (GitHub)

TAXI

Listes d'envoi pour les discussions et les annonces de TAXII
Bibliothèque Python pour la gestion des messages et des services TAXII (GitHub)

En savoir plus sur STIX/TAXII

White Paper

STIX / TAXII: What You Need to Know

Lisez le livre blanc
Aucun article n'a été trouvé.
Aucun article n'a été trouvé.
Aucun article n'a été trouvé.
Aucun article n'a été trouvé.

Video

What Are STIX/TAXII?

Regardez la vidéo

Video

Anomali STAXX Installation Tutorial

Regardez la vidéo

Video

Anomali STAXX

Regardez la vidéo

Video

Anomali STAXX

Regardez la vidéo
Aucun article n'a été trouvé.
Trier par date (Desc)
Parcourez toutes les ressources

Vous voulez en savoir plus ?

Pour plus d'informations sur STIX/TAXII, téléchargez le document.

LISEZ L'ARTICLE DE STIX/TAXII