OpenIOCファイルは、侵入の痕跡 (IOC) を示す情報が1つ以上含まれているXMLファイルです。OpenIOCファイルでは、選択した調査の種類でサポートされるインジケータ
(痕跡) 名が使用されていることを確認してください。
次の表は、調査でサポートされるIOCのインジケータを示しています。
履歴調査でサポートされるIOCの痕跡
|
カテゴリ
|
項目
|
必要な条件
|
|
DNSENTRYITEM
|
HOST
|
IS
|
|
RECORDDATA/HOST
|
IS
|
|
|
RECORDDATA/IPV4ADDRESS
|
IS
|
|
|
FILEITEM
|
FILENAME
|
IS
|
|
SHA1SUM
|
IS
|
|
|
SHA2SUM
|
IS
|
|
|
MD5SUM
|
IS
|
|
|
PORTITEM
|
LOCALIP
|
IS
|
|
REMOTEIP
|
IS
|
|
|
PROCESSITEM
|
ARGUMENTS
|
CONTAINS
|
|
NAME
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/SHA1SUM
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/SHA256SUM
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/MD5SUM
|
IS
|
|
|
REGISTRYITEM
|
KEYPATH
|
CONTAINS
|
|
VALUE
|
CONTAINS
|
|
|
VALUENAME
|
CONTAINS
|
|
|
USERNAME
|
IS
|
 |
注意選択後、Endpoint SensorにOpenIOCファイルのプレビューが表示されます。表示されたプレビューで、OpenIOCファイルにサポートされる痕跡と条件が含まれているかどうか確認します。サポートされていない組み合わせには取り消し線が付けられ、調査では無視されます。
|