Taktik tahdid razvedkasi Zararli kampaniya miqyosida tajovuzkorlar ishlatadigan usullar, taktika, protseduralar (TTP) va vositalar haqida ma'lumot.
Kiber tahdid ma'lumotlarini almashishning umumiy amaliyoti: maxsus standartlar va umumiy maqsadli formatlar.
Bugungi kunda bir nechta muhim standartlar mavjud - MISP va STIX - va kamroq ishlatilgan yoki eskirgan / eskirgan deb hisoblanadigan, unchalik ahamiyatli bo'lmagan legacy/deprecated: MAEC, IODEF, OpenIOC (Cybox), CAPEC, VERIS va boshqalar. Shu bilan birga, community-fidlarning munosib soni hamon txt yoki csv shaklida, shuningdek, odamlar o'qishi mumkin bo'lgan tahliliy xulosalar, byulletenlar va hisobotlar shaklida tarqatiladi.
Standart STIXni ishlab chiqishda qo'llaniladigan yaxshi ko'rsatmalarga ega:
Ekspressivlik
Moslashuvchanlik
Kengayish
Avtomatlashtirish
O'qish qobiliyati
STIX quyidagi ob'ektlarni SDO sifatida belgilaydi:
Hujum shakli (Attack pattern)- tajovuzkor o'z nishonini buzish uchun ishlatgan yondashuvni (TTP) tasvirlaydi. Bu ob'ekt hujumlarni tasniflash, ular ta'qib qiladigan shakllarga muvofiq aniq hujumlarni umumlashtirish va hujumlar qanday amalga oshirilayotgani haqida batafsil ma'lumot berish uchun ishlatiladi.
Zararli kampaniya (Campaign) — ma'lum vaqt davomida sodir bo'ladigan zararli xulq -atvor belgilarining ketma -ketligini tavsiflaydi.
Harakat yo'nalishi (Course of action) - hujumni oldini olish yoki unga qarshi turish uchun qilinadigan qadamlarni tavsiflaydi.
Shaxsga oid (Identity) — shaxslar, tashkilotlar yoki ularning guruhlarini tavsiflaydi.
Indikator (Indicator) — zararli faoliyatni aniqlash uchun ishlatilishi mumkin bo'lgan zararli texnik artefaktlar tasvirlaydi(masalan, IP -manzillar, domenlar, xeshlar, ro'yxatga olish kitobi kalitlari).
Intrusion set — bir tashkilot tomonidan boshqarilishi mumkin bo'lgan umumiy xususiyatlarga ega bo'lgan xulq -atvor xususiyatlari va manbalar to'plamini tavsiflaydi. Zararli DT (Malware) — zararli dasturlar misollarini tasvirlaydi.
Kuzatilgan obyekt (Observed data) —zararli bo'lmagan texnik artefakt tasvirlaydi.
Hisobot(Report) — har qanday tahdid, zararli guruh, ularning TTP, qurbonlarini tushunarli shaklda tasvirlaydi. Tahdidning mohiyatini, uning xavfi, zararli dasturi, ishlatilgan texnikasi, hujumchi tomonidan qo'llaniladigan taktika va protseduralarni tushunishga imkon beradigan o'ziga xos tahliliy xulosa.
Bosqinchi (Threat actor) — Xavfli aktyor - yomon niyatda harakat qilayotgan odam, guruh yoki tashkilotni tasvirlaydi. Qisqasi, hujumchilar va xakerlar. Bu shaxsning motivatsiyasidagi yovuzlik uni identifikatsiyadan ajratib turadi.
Uskuna (Tool) — niy dasturiy ta'minotni tasvirlaydi. Ushbu ob'ekt va zararli dastur o'rtasidagi farq shundaki, bu qonuniy dasturiy ta'minot, masalan, nmap yoki RDP, VNC.
