微软与Check Point通过STIX/TAXII共享漏洞情报的实践分析

1. 微软对STIX/TAXII标准的支持与漏洞情报共享

微软在其安全产品 Microsoft Sentinel 中深度集成STIX/TAXII标准：

• 标准支持：Microsoft Sentinel通过内置的 TAXII数据连接器 支持STIX 2.0/2.1格式的威胁情报导入。该连接器允许从外部TAXII 2.x服务器拉取威胁指标（如IOC、攻击模式），并自动转换为Sentinel可处理的格式 。
• 实际应用：微软与第三方威胁情报提供商（如ReversingLabs）合作，通过STIX/TAXII协议共享数据。例如，ReversingLabs的勒索软件攻击指标（包括恶意软件哈希、MITRE ATT&CK标签）通过TAXII服务器传输至Microsoft Sentinel，用于实时威胁检测 。
• 漏洞情报的编码：
  虽然资料未明确提及CVE-2025-33053的具体编码方式，但微软的文档表明：
  • STIX格式可描述 攻击模式（TTP对象） 和 IOC指标（Indicator对象） ，例如漏洞利用路径可编码为attack-pattern对象，关联CVE编号及攻击步骤 。
  • Threat Actor对象 主要用于描述攻击者身份（如组织、动机），而非漏洞本身 。因此WebDAV攻击路径更可能被编码为attack-pattern或vulnerability对象，而非Threat Actor。

2. Check