Structured threat information expression

Structured Threat Information eXpression（脅威情報構造化記述形式^[1])、略してSTIXはサイバー脅威インテリジェンスを機械可読な方法で他者と共有するための仕様であり^[1][2]、セキュリティコミュニティが攻撃をより理解し、攻撃への準備や対応をよりうまく、早く、正確に行う事を可能にする^[2]。

なお、STIXのバージョン1はXML形式で脅威インテリジェンスを記述していたが、バージョン2ではJSON形式で記述する^[3]。

STIXバージョン1.1.1

以下の８つの情報群から構成される^[1]：

名称	意味	概要
Campaigns	サイバー攻撃活動	「攻撃活動の意図（campaign:Intended_Effect)」と「攻撃活動の状態(campaign:Status)」等を記述
Threat_Actors	攻撃者	「攻撃者のタイプ(ta:Type)」、「攻撃者の動機(ta:Motivation)」、「攻撃者の熟練度(ta:Sophistication)」、「攻撃者の意図(ta:Intended_Effect)」等を記述
TTPs	攻撃手口	「攻撃手口の意図(ttp:Intended_Effect)」、「使用されたマルウェアのタイプ(ttp:Malware_Instance)」、「攻撃で用いられたツール(ttp:Tool)」、「攻撃者の攻撃基盤(ttp:Infrastructure)」、「攻撃対象となるシステム(ttp:Targeted_Systems)」、「攻撃対象となる情報(ttp:Targeted_Information)」、「攻撃のパターン(ttp:Attack_Pattern)」を等記述。 なお、TTPsは「Tactics, Techniques and Procedures」（戦術、技術、手順）の略。攻撃のパターン(ttp:Attack_Pattern)にはCAPECのidを記述。
Indicators	検知指標	検知指標のタイプ(indicator:Type)を等記述
Observables	観測事象	CybOX形式で観測事象を等記述
Incidents	インシデント	「インシデントの分類(incident:Category)」、「被害を受けた資産の所有者(incident:Ownership_Class)」、「資産の管理者(incident:Management_Class)」、「資産の場所(incident:Location_Class)」、「インシデントによる被害分類(incident:Property)」、「インシデントの影響を受けた対象(incident:Effect)」、「インシデント対処の状況(incident:Status)」、「侵害の発生有無(incident:Security_Compromise)」、「発見方法(incident:Discovery_Method)」を等記述。
Courses_Of_Action	対処措置	「処措置の状況(coa:Stage)」、「対処措置のタイプ(coa:Type)」を等記述。
Exploit_Targets	攻撃対象	脆弱性のCVE番号（et:CVE_ID）、CWE番号（et:CWE_ID）、CCE番号（et:CCE_ID）、VSS等スコア(et:CVSS_Score)を記述。

これら８つに２つの付属情報フィールドSTIX_Header、Related_Packagesを組み合わせたものをSTIX_PACKAGEといい、STIX_PACKAGEにより脅威情報を記述する^[1]。

STIX_PACKAGEではCampaignsフィールドから他のフィールドに下記のようなリンクを貼る事が可能である^[1]：

リンク名	リンク先
Related_Indicators	Indicators
Related_TTPs	TTPs
Related_Incidents	Incidents
Associated_Campaigns	Campaigns
Attributions	Threat_Actors
Related_Packages	Related_Packages