OpenIOCファイルは、侵入の痕跡 (IOC) を示す情報が1つ以上含まれているXMLファイルです。OpenIOCファイルでは、選択した調査の種類でサポートされるインジケータ
(痕跡) 名が使用されていることを確認してください。
次の表は、調査でサポートされるIOCのインジケータを示しています。
 |
重要IOCファイルを選択する場合、IOCインジケータに、照合するファイルの場所 (「FileItem/FullPath」または「FileItem/FilePath」)
が含まれていることを確認する必要があります。
|
|
カテゴリ
|
項目
|
必要条件
|
メモ
|
|
FILEITEM
|
FULLPATH
|
IS
|
完全なディレクトリパス、ファイル名、拡張子を参照します
|
|
FILEPATH
|
IS、CONTAINS、STARTS-WITH、ENDS-WITH
|
部分一致検索がサポートされます
|
|
|
FILENAME
|
IS、CONTAINS、STARTS-WITH、ENDS-WITH
|
部分一致検索がサポートされます
|
|
|
MD5SUM
|
IS
|
||
|
SHA1SUM
|
IS
|
||
|
SHA256SUM
|
IS
|
||
|
SIZEINBYTES
|
IS
|
||
|
CREATED
|
GREATER-THAN、LESS-THAN
|
必要な形式 (UTC): yyyy-mm-ddThh:mm:ss
|
|
|
MODIFIED
|
GREATER-THAN、LESS-THAN
|
必要な形式 (UTC): yyyy-mm-ddThh:mm:ss
|
|
|
ACCESSED
|
GREATER-THAN、LESS-THAN
|
必要な形式 (UTC): yyyy-mm-ddThh:mm:ss
|
 |
注意選択後、Endpoint SensorにOpenIOCファイルのプレビューが表示されます。表示されたプレビューで、OpenIOCファイルにサポートされる痕跡と条件が含まれているかどうか確認します。サポートされていない組み合わせには取り消し線が付けられ、調査では無視されます。
|