как отметить индикатор cybox stix как ложное срабатывание?

Question

как отметить индикатор cybox stix как ложное срабатывание?

Я передаю информацию об угрозах на сервер такси через формат STIX следующим образом: (пример формата stix URL)

<stix:Indicator id="example:indicator-13bea83f-40d3-4f0d-aa0b-e7421c00f153" timestamp="2020-06-24T17:23:23.042450+00:00" xsi:type="indicator:IndicatorType">
         <indicator:Title>Malicious URL</indicator:Title>
         <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.1">URL Watchlist</indicator:Type>
         <indicator:Description>Malicious URL example</indicator:Description>
         <indicator:Observable id="example:Observable-67e56fc6-2f49-4979-bc27-d6e2a354c6f1">
             <cybox:Object id="example:URI-743f8c68-42a0-4a40-a6b2-48ecc605830e">
                 <cybox:Properties xsi:type="URIObj:URIObjectType" type="URL">
                     <URIObj:Value condition="Equals">http://example.malicious.url/</URIObj:Value>
                 </cybox:Properties>
             </cybox:Object>
         </indicator:Observable>
     </stix:Indicator>

Если этот URL-адрес позже будет признан ложным срабатыванием, существует ли в stix язык для обновления этого наблюдаемого объекта как "ложного срабатывания" с помощью сервера taxii, чтобы клиент удалил его или занес в белый список?

Я искал, но не нашел спецификации по этому поводу.

0

security threat-model

Источник

user1272760 02 июл '20 в 21:53

0 ответов

Другие вопросы по тегам security threat-model