Tìm hiểu STIX/TAXII trong chia sẻ Threat Intelligence
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.12 MB, 24 trang )
Sharing Cyber Threat Intelligence Just Got
Easier
STIX/TAXII 2.1
Nguyễn Ly
Na
Lê Khắc Hiếu
Need for Information Sharing
● Tình báo về mối đe dọa mạng (CTI – Cyber Threat
Intelligence) không phải là single player sport
● Nó phụ thuộc vào sự truy cập vào nhiều loại thơng tin
và khơng có thực thể nào sở hữu một bức tranh đầy
đủ.
● Nó địi hỏi việc chia sẻ thông tin giữa các bên liên
quan
Solution: STIX and TAXII
là loại ngôn ngữ để chia sẻ
CTI
là loại giao thức để trao đổi
CTI
Bố cục
0
1
0
2
0
3
STIX
Structured Threat Information Expression
TAXII
Trusted Automated Exchange of Intelligence
Information
DEMO
TAXII Server, TAXII Client of OASIS
01
STIX
Structured Threat Information
Expression
STIX 2.1
•
STIX là một định dạng để trao đổi tất
cả các khía cạnh của CTI. Là một tiêu
chuẩn quốc tế được phát triển bởi
OASIS
•
STIX khơng phải là một chương trình
hay cơng cụ chia sẻ, nó là một thành
phần hỗ trợ cho các chương trình
hoặc cơng cụ.
•
Cùng với STIX, một phương pháp
chuẩn hóa để chia sẻ CTI cũng được
phát triển -> TAXII.
là loại ngôn ngữ để chia sẻ
CTI
STIX 2.1
•
Ở phiên bản 2.1, STIX sử dụng
ngơn ngữ JSON để miêu tả CTI.
•
STIX có thể hiểu là một đồ thị
liên thơng của các nút và
cạnh, trong đó nút là các thực
thể quan sát và cạnh là mối
quan hệ giữa chúng.
•
STIX được sử dụng rộng rãi bởi
các cộng đồng các nhà phát
triển và phân tích.
02
TAXII
Trusted Automated Exchange of Intelligence
Information
TAXII Overview
•
TAXII xác định một tập hợp
các dịch vụ để trao đổi CTI.
•
TAXII cho phép chia sẻ thơng
tin về CTI, qua HTTPs,
sử
dụng STIX hoặc non-STIX.
•
Khả năng hoạt động ở nhiều
tổ chức, xuyên ranh giới giữa
các sản phẩm hay dịch vụ
khác khau.
TAXII Overview
•
TAXII định nghĩa một RESTful API (một tập hợp các dịch vụ và trao đổi tin nhắn)
và một tập hợp các cài đặt cho TAXII Server và TAXII Client.
•
Dưới đây là 2 dịch vụ chính mà TAXII hỗ trợ cho nhiều mơ hình chia sẻ chung:
TAXII Server
TAXII 2.1 API – Server Information
Discover
y
Property:
title, description, api_roots.
TAXII 2.1 API – Server Information
Get API Root
Information
Property: title, description, versions,
max_content_length
TAXII 2.1 API – Server Information
Get API Root Status
Property: title,
description,
versions,
max_content_length
TAXII 2.1 API – Collections
Get Collections
TAXII 2.1 API – Collections
Get a Collection
Property: id,
title,
can_read, can_write
TAXII 2.1 API – Collections
Get Objects
TAXII 2.1 API – Collections
Add Objects
TAXII 2.1 API – Collections
Get a Object
TAXII 2.1 API – Collections
Delete a Object
Conclusion
get information
Server
Roots
Collections
Objects
Add content
Del content
03
DEMO
Preparation
TAXII Server
/>
TAXII Client
/>
Postman
/>
Ubuntu VM
20.04
Python
3.
THANKS!
CREDITS: This presentation template was created by
Slidesgo, including icons by Flaticon, and infographics
& images by Freepik
