System Process IOCのIOCサンプル · Customer Self-Service

ビュー:

次のIOCサンプルは、ファイルパスC:\program files\wireshark\qtshark.exeを使用して、プロセスを実行しているqtshark.exeを検索します。

<?xml version="1.0" encoding="us-ascii"?>
<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema"
id="88e454e9-f94d-4771-baf8-14fc625ea4e4"
last-modified="2014-08-06T06:52:49"
xmlns="http://schemas.mandiant.com/2010/ioc">
    <short_description>*New Unsaved Indicator*
    </short_description>
    <authored_date>2014-08-05T06:35:39</authored_date>
    <links />
    <definition>
    <Indicator operator="AND"
    id="5be0c2e0-53e0-49e9-842d-75d92d3261b3">
        <IndicatorItem
        id="da7e0a00-d6b1-4139-b71f-e4d3e8e47513"
        condition="is">
            <Context document="ProcessItem"
            search="ProcessItem/path" type="mir" />
            <Content type="string">
            C:\program files\wireshark\qtshark.exe</Content>
        </IndicatorItem>
    </Indicator>
    </definition>
</ioc>

次のIOCファイルサンプルは、説明内に文字列「support for synchronizing objects」を含むWindowsサービスを検索します。

<?xml version="1.0" encoding="us-ascii"?>
<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema"
id="88e454e9-f94d-4771-baf8-14fc625ea4e4"
last-modified="2014-08-06T06:52:49"
xmlns="http://schemas.mandiant.com/2010/ioc">
    <short_description>*New Unsaved Indicator*
    </short_description>
    <authored_date>2014-08-05T06:35:39</authored_date>
    <links />
    <definition>
    <Indicator operator="AND"
    id="5be0c2e0-53e0-49e9-842d-75d92d3261b3">
        <IndicatorItem
        id="da7e0a00-d6b1-4139-b71f-e4d3e8e47513"
        condition="contains">
            <Context document="ServiceItem"
            search="ServiceItem/description" type="mir" />
            <Content type="string">
            support for synchronizing objects
            </Content>
        </IndicatorItem>
    </Indicator>
    </definition>
</ioc>

次のIOCファイルサンプルは、ファイルパスに\program files\wireshark\を含むロードされたモジュールを検索します。

<?xml version="1.0" encoding="us-ascii"?>
<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:xsd="http://www.w3.org/2001/XMLSchema"
id="88e454e9-f94d-4771-baf8-14fc625ea4e4"
last-modified="2014-08-06T06:52:49"
xmlns="http://schemas.mandiant.com/2010/ioc">
    <short_description>*New Unsaved Indicator*
    </short_description>
    <authored_date>2014-08-05T06:35:39</authored_date>
    <links />
    <definition>
    <Indicator operator="AND"
    id="5be0c2e0-53e0-49e9-842d-75d92d3261b3">
        <IndicatorItem
        id="da7e0a00-d6b1-4139-b71f-e4d3e8e47513"
        condition="contains">
            <Context document="FileItem"
            search="FileItem/FullPath" type="mir" />
            <Content type="string">
            \program files\wireshark\
            </Content>
        </IndicatorItem>
    </Indicator>
    </definition>
</ioc>