ビュー:

特定のデータを表示するには、次のオプションの属性および演算子を選択して、関連付けられた値を入力してください。

表 1. 検索条件: [ネットワーク検出]

属性

演算子

処理

ホスト名

次の値を含む/次の値を含まない/次の値で始まる/等しい

値を入力

注目すべきホスト

次の値を含む/次の値を含まない/次の値で始まる/等しい

値を入力

ピアホスト

次の値を含む/次の値を含まない/次の値で始まる/等しい

値を入力

IPアドレス

次の値を含む/次の値を含まない/等しい

値を入力

範囲内/範囲外

範囲を入力

注目すべきIPアドレス

次の値を含む/次の値を含まない/等しい

値を入力

範囲内/範囲外

範囲を入力

ピアIPアドレス

次の値を含む/次の値を含まない/等しい

値を入力

範囲内/範囲外

範囲を入力

ピアIPの国/地域

次のいずれかの値を含む/次のいずれの値も含まない

ピアIPの国または地域を1つ以上選択

MACアドレス

次のいずれかの値を含む/次のいずれの値も含まない

値を入力

ネットワークグループ

次の値を含む/次の値を含まない/等しい

値を入力

ユーザアカウント

ユーザアカウントあり/ユーザアカウントなし

  

次の値を含む/次の値を含まない

値を入力

プロトコル

次のいずれかの値を含む/次のいずれの値も含まない

プロトコルを1つ以上選択

Transport Layer Security (TLS)

等しい

次のいずれかを選択します。

  • Over SSL/TLS

  • Over SSL/TLSでない

方向

等しい

次のいずれかを選択します。

  • 内部

  • 外部

脅威/検出/参照

次の値を含む/次の値を含まない/等しい

値を入力

検出ルールID

次のいずれかの値を含む/次のいずれの値も含まない

範囲を入力

YARAルールファイル名

YARAルールファイル名あり/YARAルールファイル名なし

  

次の値を含む/次の値を含まない/次の値と等しい

値を入力

相関分析ルールID (ICID)

次のいずれかの値を含む/次のいずれの値も含まない

値を入力

検出の種類

次のいずれかの値を含む/次のいずれの値も含まない

次を1つ以上選択します。

  • 不正なコンテンツ

  • 不正な動作

  • 不審動作

  • セキュリティホール悪用

  • グレーウェア

  • 不正なURL

  • 要注意アプリケーション

  • 相関関係のあるインシデント

攻撃段階

次のいずれかの値を含む/次のいずれの値も含まない

次を1つ以上選択します。

  • 情報収集

  • 初期侵入

  • C&C通信

  • 内部活動

  • 情報探索

  • 情報送出

  • 不明な攻撃段階

Tactics

Tacticsあり/Tacticsなし

  

次のいずれかの値を含む/次のいずれの値も含まない

次を1つ以上選択します。

  • Initial Access

  • Execution

  • Persistence

  • Privilege Escalation

  • Defense Evasion

  • Credential Access

  • Discovery

  • Lateral Movement

  • Collection

  • Exfiltration

  • Command and Control

  • Impact

URLカテゴリ

次のいずれかの値を含む/次のいずれの値も含まない

URLカテゴリを1つ以上選択

C&Cリストのソース

次のいずれかの値を含む/次のいずれの値も含まない

次を1つ以上選択します。

  • グローバルインテリジェンス

  • 仮想アナライザ

  • ユーザ指定

  • 関連ルール

C&Cコールバックアドレス

次の値を含む/次の値を含まない

値を入力

C&Cリスクレベル

次のいずれかの値を含む/次のいずれの値も含まない

次を1つ以上選択します。

  • 不明

仮想アナライザの結果

分析結果あり/分析結果なし

  

PCAPファイル

PCAPファイルあり/PCAPファイルなし

  

標的型攻撃への関連

等しい

次のいずれかを選択します。

  • はい

  • いいえ

ファイル検出の種類

次のいずれかの値を含む

次を1つ以上選択します。

  • 極めて不審なファイル

  • ヒューリスティック検出

  • 不正なコンテンツ

ファイルパス/ファイル名

ファイル名あり/ファイル名なし

  

次の値を含む/次の値を含まない/等しい

値を入力

SHA-1

ファイルのSHA-1あり/ファイルのSHA-1なし/

  

次の値を含む/次の値を含まない

値を入力

SHA-256

ファイルのSHA-256あり/ファイルのSHA-256なし

  

次の値を含む/次の値を含まない

値を入力

ドメイン/URL

次の値を含む/次の値を含まない/等しい

値を入力

不審オブジェクト/拒否リストエンティティ/ユーザ指定の不審オブジェクト

次の値を含む/次の値を含まない/次の値で始まる/等しい

値を入力

送信者 (メール)

送信者あり/送信者なし

  

等しい/次の値を含む/次の値を含まない

値を入力

受信者 (メール)

受信者あり/受信者なし

  

等しい/次の値を含む/次の値を含まない

値を入力

メッセージID (メール)

メッセージIDあり/メッセージIDなし

  

次の値を含む/次の値を含まない

値を入力

件名 (メール)

件名あり/件名なし

  

次の値を含む/次の値を含まない

値を入力

詳細については、次を参照してください。

親トピック: ネットワーク検出