Bevor verschiedene Datenquellen durchsucht werden, identifiziert und erfasst Trend Vision One STIX-Indikator-Muster, die für die Durchsuchung verwendet werden.
Die folgende Tabelle enthält Informationen über die gängigen STIX-Indikator-Muster,
die in verschiedenen Szenarien angewendet werden.
 |
HinweisSTIX-Shifter ermöglicht es Trend Vision One, sich mit Datenquellen von Drittanbietern zu verbinden, indem STIX-Muster verwendet
werden, und umfassende Ergebnisse als STIX-Beobachtungen zurückzugeben. Die folgende
Tabelle deckt nicht alle von STIX-Shifter unterstützten STIX-Muster ab, und Trend Micro kann nur Unterstützung für getestete STIX-Muster garantieren.
|
|
Objekttyp
|
STIX-Muster
|
Für Endpunkt-Aktivitätsdaten
|
Für E-Mail-Aktivitätsdaten
|
Für Network Activity Data
|
Für STIX-Shifter-Datenquelle (QRadar in der Cloud)
|
|
Datei
|
[file:hashes.'SHA-256' = '<SHA256 value>']
|
Ja
|
Ja
|
Ja
|
Ja
|
|
[file:hashes.'SHA-1' = '<SHA1 value>']
|
Ja
|
Ja
|
Ja
|
Ja
|
|
|
[file:hashes.MD5 = '<md5 value>']
|
Ja
|
Ja
|
No
|
Ja
|
|
|
[dateiname = '<file name string>']
|
Ja
|
Ja
|
Ja
|
Ja
|
|
|
Domäne
|
[domain-name:value = '<domain name string>']
|
Ja
|
Ja
|
Ja
|
Ja
|
|
URL
|
[url:value = '<url string>']
|
Ja
|
Ja
|
Ja
|
Ja
|
|
IP-Adresse
|
[ipv4-addr:value = '<ip address>']
|
Ja
|
Ja
|
Ja
|
Ja
|
|
[ipv4-addr:value = '<ip cidr>']
|
No
|
No
|
No
|
Ja
|
|
|
[ipv6-addr:value = '<ip address>']
|
Ja
|
Ja
|
Ja
|
Ja
|
|
|
Netzwerkverkehr
|
[network-traffic:src_ref.type = 'ipv4-addr' UND network-traffic:src_ref.value = '<ip
address>']
|
Ja
|
Ja
|
Ja
|
No
|
|
[network-traffic:dst_ref.type = 'ipv4-addr' UND network-traffic:dst_ref.value = '<ip
address>']
|
Ja
|
Ja
|
Ja
|
No
|
|
|
[network-traffic:src_ref.type = 'ipv6-addr' UND network-traffic:src_ref.value = '<ip
address>']
|
Ja
|
Ja
|
Ja
|
No
|
|
|
[network-traffic:dst_ref.type = 'ipv6-addr' UND network-traffic:dst_ref.value = '<ip
address>']
|
Ja
|
Ja
|
Ja
|
No
|
|
|
[network-traffic:dst_ref.type = 'domain-name' UND network-traffic:dst_ref.value =
'<domain name string>']
|
Ja
|
Ja
|
Ja
|
No
|
|
|
Prozess
|
[process:command_line='<command line string>']
|
Ja
|
No
|
No
|
Ja
|
|
[process:parent_ref.command_line='<command line string>']
|
Ja
|
No
|
No
|
Ja
|
|
|
Benutzerkonto
|
[user-account:account_login = '<account name>']
|
Ja
|
No
|
Ja
|
Ja
|
|
Registrierung
|
[windows-registry-key:key = '<registry key path>']
|
Ja
|
No
|
No
|
No
|
|
[windows-registry-value-type:name = 'Registrierungsschlüsselname']
|
Ja
|
No
|
No
|
No
|
|
|
[windows-registry-value-type:data = 'Registrierungsschlüssel-Daten']
|
Ja
|
No
|
No
|
No
|
|
Hinweis
|