Rijkslogo, link naar home
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Dreigingsinformatie snel en gestructureerd delen met STIX en TAXII

Een expertblog van Luitzen Homma, Senior CTI-specialist
Expertblogs
16 januari 2026
Update: 3 uur geleden
Stel je voor: het is maandagochtend. Terwijl de meeste teams nog opstarten, komt er in jouw sector een melding binnen over een nieuwe ransomware-campagne. Een paar uur later volgen de eerste bevestigingen: meerdere organisaties zijn al geraakt en de impact loopt snel op. De indicators of compromise (IOC’s), zoals IP-adressen, domeinnamen en file-hashes worden gedeeld, maar nog via losse spreadsheets, pdf'jes, CSV’s of e-mails. Tegen de tijd dat jouw Security Operations Center (SOC) deze informatie handmatig heeft overgenomen en in de beveiligingstools heeft geladen, is de aanval alweer een stap verder in de aanvalsketen.

In een wereld waarin dreigingen zich razendsnel ontwikkelen, is de snelheid waarmee je dreigingsinformatie deelt en verwerkt cruciaal. Niet alleen binnen je eigen organisatie, maar ook tussen partners, leveranciers, CSIRTs en publieke partijen zoals het NCSC. Hiervoor is een uniforme, machineleesbare datastructuur nodig die door verschillende systemen en leveranciers wordt begrepen, zonder dat telkens nieuwe conversies of handmatige handelingen nodig zijn.

STIX en TAXII zijn precies voor dat doel ontwikkeld: STIX is de taal en het datamodel waarmee je cyberdreigingen gestructureerd en machineleesbaar beschrijft. TAXII is het transportprotocol waarmee je die informatie veilig en geautomatiseerd uitwisselt.

Wat is STIX 2.1?

STIX, wat staat voor Structured Threat Information Expression, is een open standaard die helpt bij het vastleggen en delen van cyber threat intelligence (CTI). Het is niet alleen een manier om dreigingen op te schrijven, maar ook een manier om die informatie te structureren zodat computers die eenvoudig en uniform kunnen lezen en verwerken. STIX gebruikt een set gestandaardiseerde objecttypen, zoals indicator, malware, threat actor en campaign. Deze objecten kunnen relaties met elkaar hebben, waardoor het mogelijk is om een uitgebreid en consistent beeld van dreigingen op te bouwen.

Hieronder zie je een eenvoudig voorbeeld van een STIX 2.1-indicator in JSON-formaat:

Voorbeeld van een STIX 2.1-indicator in JSON-formaat

Wat je hier ziet, is een indicator-object dat een verdacht domein beschrijft in een format dat elke STIX-compatibele tool kan lezen. Het pattern-veld geeft aan waar je beveiligingssoftware op kan letten, en valid_from toont vanaf wanneer dit relevant is. Omdat dit in een open, machineleesbare standaard is, kunnen verschillende tools en leveranciers deze indicator zonder extra conversies verwerken.

Wat is TAXII?

TAXII, wat staat voor Trusted Automated Exchange of Intelligence Information, is het protocol waarmee STIX-informatie wordt gedeeld. Het is een RESTful-API die draait over HTTPS en biedt een gestructureerde manier om STIX-objecten in zogenaamde "collections" aan te bieden en op te halen.  Hiermee kunnen beveiligingssystemen automatisch nieuwe dreigingsinformatie uit feeds ophalen en deze direct verwerken in bijvoorbeeld een SIEM of TIP.

Deze combinatie van STIX als taal en TAXII als transport maakt het mogelijk om cyberdreigingsinformatie snel, veilig en efficiënt tussen verschillende partijen uit te wisselen.

Waarom zou je STIX en TAXII gebruiken?

  • Snellere detectie en respons
    Indicatoren en dreigingsinformatie worden automatisch in je systemen geladen, waardoor je sneller kunt reageren.
  • Minder fouten en maatwerk
    Door de gestandaardiseerde, machineleesbare data zijn minder handmatige handelingen nodig, wat fouten zoals typefouten en vertraging voorkomt.
  • Interoperabiliteit

Omdat het een leveranciers-agnostische standaard is, zorgt het ervoor dat je minder afhankelijk bent van een enkele leverancier en gemakkelijker kunt wisselen tussen tools, zonder leveranciersafhankelijkheid. 

STIX en TAXII worden breed ondersteund door veel leveranciers van beveiligingstools, cybersecuritybedrijven, onderzoeksorganisaties, incident response teams (CSIRTs) en overheden. Hierdoor vormen ze een gemeenschappelijke taal en protocol voor het gestructureerd en geautomatiseerd uitwisselen van dreigingsinformatie tussen verschillende systemen en partijen.

Nadelen en praktijkvoorbeeld

STIX is rijk aan mogelijkheden, wat het aan de ene kant krachtig maakt, maar ook complex. Niet elke leverancier implementeert de standaard precies hetzelfde. Dit kan soms leiden tot inconsistentie en parsingproblemen.

Een voorbeeld: twee leveranciers gebruiken eigen extensies of vullen velden anders in. Hierdoor faalt een parser bij het verwerken van indicatoren die net iets afwijken van het formele model. Dat betekent dat je alsnog mappings en validaties moet bouwen, wat tijd kost en de beloofde eenvoud soms ondermijnt.

Begin klein, denk groot

Ook al ziet STIX er complex uit, je hoeft niet meteen alles te gebruiken. Begin bijvoorbeeld met een paar basisindicatoren en één TAXII-feed. Elke stap richting een gezamenlijke, leverancier-neutrale standaard helpt om sneller dreigingsinformatie te delen en daarmee effectiever te reageren op cyberdreigingen.

Meer informatie over STIX en TAXII
Formulier
Heeft deze pagina je geholpen?