OpenIOCファイルは、侵入の痕跡 (IOC) を示す情報が1つ以上含まれているXMLファイルです。OpenIOCファイルでは、選択した調査の種類でサポートされるインジケータ (痕跡) 名が使用されていることを確認してください。
次の表は、調査でサポートされるIOCのインジケータを示しています。
IOCファイルを選択する場合、IOCインジケータに、照合するファイルの場所 (「FileItem/FullPath」または「FileItem/FilePath」) が含まれていることを確認する必要があります。
|
カテゴリ |
項目 |
必要条件 |
メモ |
|---|---|---|---|
|
FILEITEM |
FULLPATH |
IS |
完全なディレクトリパス、ファイル名、拡張子を参照します |
|
FILEPATH |
IS、CONTAINS、STARTS-WITH、ENDS-WITH |
部分一致検索がサポートされます |
|
|
FILENAME |
IS、CONTAINS、STARTS-WITH、ENDS-WITH |
部分一致検索がサポートされます |
|
|
MD5SUM |
IS |
||
|
SHA1SUM |
IS |
||
|
SHA256SUM |
IS |
||
|
SIZEINBYTES |
IS |
||
|
CREATED |
GREATER-THAN、LESS-THAN |
必要な形式 (UTC): yyyy-mm-ddThh:mm:ss |
|
|
MODIFIED |
GREATER-THAN、LESS-THAN |
必要な形式 (UTC): yyyy-mm-ddThh:mm:ss |
|
|
ACCESSED |
GREATER-THAN、LESS-THAN |
必要な形式 (UTC): yyyy-mm-ddThh:mm:ss |
選択後、Endpoint SensorにOpenIOCファイルのプレビューが表示されます。表示されたプレビューで、OpenIOCファイルにサポートされる痕跡と条件が含まれているかどうか確認します。サポートされていない組み合わせには取り消し線が付けられ、調査では無視されます。