OpenIOCファイルは、侵入の痕跡 (IOC) を示す情報が1つ以上含まれているXMLファイルです。OpenIOCファイルでは、選択した調査の種類でサポートされるインジケータ (痕跡) 名が使用されていることを確認してください。
次の表は、調査でサポートされるIOCのインジケータを示しています。
カテゴリ |
項目 |
必要な条件 |
|---|---|---|
DNSENTRYITEM |
HOST |
IS |
RECORDDATA/HOST |
IS |
|
RECORDDATA/IPV4ADDRESS |
IS |
|
FILEITEM |
FILENAME |
IS |
SHA1SUM |
IS |
|
SHA256SUM |
IS |
|
MD5SUM |
IS |
|
PORTITEM |
LOCALIP |
IS |
REMOTEIP |
IS |
|
PROCESSITEM |
ARGUMENTS |
CONTAINS |
NAME |
IS |
|
SECTIONLIST/MEMORYSECTION/SHA1SUM |
IS |
|
SECTIONLIST/MEMORYSECTION/SHA256SUM |
IS |
|
SECTIONLIST/MEMORYSECTION/MD5SUM |
IS |
|
REGISTRYITEM |
KEYPATH |
CONTAINS |
VALUE |
CONTAINS |
|
VALUENAME |
CONTAINS |
|
USERNAME |
IS |
|
URLHISTORYITEM |
URL |
CONTAINS |
注:
選択後、Endpoint SensorにOpenIOCファイルのプレビューが表示されます。表示されたプレビューで、OpenIOCファイルにサポートされる痕跡と条件が含まれているかどうか確認します。サポートされていない組み合わせには取り消し線が付けられ、調査では無視されます。