サポートされるIOCインジケータの用語

ビュー:

IOCファイルは1つ以上のインジケータ用語で構成されています。これらのインジケータ用語は調査で使用する変数を指定します。Trend Micro Endpoint Sensorでは、アップロードされたIOCファイルが次の手順で解析されます。

IOCファイルからすべてのインジケータ用語を抽出する
サポートされるインジケータ用語をSQLコマンドに変換する
これらのSQLコマンドを調査のパラメータに適用する
サポートされないインジケータ用語はすべてスキップする

Trend Micro Endpoint Sensorでは、IOCファイルが次のように分類されます。

Historical Records IOC

履歴イベントの調査に使用されるIOCファイルです。これらのファイルは [Historical search] > [IOC files] でアップロードされます。

詳細については、Historical Records IOCのIOCサンプルを参照してください。
System Process IOC

現在のシステム状態に基づいた、実行中のシステムプロセスの調査に使用されるIOCファイルです。これらのファイルは [System snapshot] > [IOC files] でアップロードされます。

詳細については、System Process IOCのIOCサンプルを参照してください。
Disk Scanning IOC

システム上の特定ファイルの調査に使用されるIOCファイルです。アップロードされたDisk IOCファイルには、fileitem/filepathインジケータまたはfileitem/fullpathインジケータが少なくとも1つ含まれている必要があります。これらのファイルは [System snapshot] > [Disk IOC files] でアップロードされます。

詳細については、Disk Scanning IOCのIOCサンプルを参照してください。
Monitoring IOC

システム上の特定ファイルの監視に使用されるIOCファイルです。これらのファイルは [Monitoring Setting] > [User defined] でアップロードされます。

詳細については、監視ルールを参照してください。

それぞれの分類で一連のインジケータ用語がサポートされています。次の表を参照して、使用するインジケータ用語を確認してください。

表 1. Trend Micro Endpoint Sensor 1.6でサポートされるIOCインジケータ項目
インジケータ	_{Historical Records}	_{System Process}	_{Disk Scanning}	_Monitoring
DnsEntryItem データベースログでネットワーク関連のクエリを検索するには、Historical Records IOCのDnsEntryItemインジケータを使用します。システム上のネットワーク関連の動作を監視するには、Monitoring IOCのDnsEntryItemインジケータを使用します。
`dnsentryitem/host` DNSホスト
`dnsentryitem/recorddata/host` ホスト名
`dnsentryitem/recorddata/ipv4address` DNSホストのIPv4アドレス
FileItem データベースログでロードされたモジュールを検索するには、Historical Records IOCのFileItemインジケータを使用します。システムスナップショットでロードされたモジュールを検索するには、System Process IOCのFileItemインジケータを使用します。実行中のプロセスやWindowsサービスには、FileItemインジケータは使用しないでください。システムスナップショットでロードされたモジュールを検索するには、Disk Scanning IOCのFileItemインジケータを使用します。Trend Micro Endpoint Sensorでは、Disk Scanning IOCに対して、少なくとも1つの`fileitem/filepath`または`fileitem/fullpath`インジケータが必要です。システム上のファイルアクセス (ドロップ/オープン) 動作を監視するには、Monitoring IOCのFileItemインジケータを使用します。
`fileitem/accessed` ファイルが最後にアクセスされたときのタイムスタンプ例:`2000-04-12T09:14:38Z`
`fileitem/created` ファイルが作成されたときのタイムスタンプ例:`2000-04-12T09:14:38Z`
`fileitem/fileextension` ファイル拡張子名例:`exe`
`fileitem/filename` 不審ファイル名
`fileitem/filepath` ファイル名のない対象のランディングフォルダ Disk Scanning IOCの場合、サブフォルダを再帰的に検索するには、パスの後にアスタリスク () を追加します。例:`C:\Windows\System32\` Disk Scanning IOCでは、少なくとも1つの`filepath`または`fullpath`インジケータが必要です。
`fileitem/fullpath` ファイル名を含む対象の完全なランディングフォルダ例:`C:\Windows\System32\WinSync.dll` Disk Scanning IOCでは、少なくとも1つの`filepath`または`fullpath`インジケータが必要です。
`fileitem/md5sum` 不審ファイルのMD5ハッシュ値 (16進数形式)
`fileitem/modified` ファイルが最後に変更されたときのタイムスタンプ例:`2000-04-12T09:14:38Z`
`fileitem/peinfo/digitalsignature/certificateissuer` ファイルのデジタル証明書発行元セクション内のキーワード
`fileitem/peinfo/digitalsignature/certificatesubject` ファイルのデジタル証明書サブジェクトセクション内のキーワード
`fileitem/sha1sum` 不審ファイルのSHA-1ハッシュ値 (16進数形式)
`fileitem/sizeInbytes` ファイルのサイズまたはファイルサイズの範囲 (バイト単位) 例:`101000 TO 120000`
`fileitem/username` ファイルを作成したアカウント名
`fileitem/devicepath` ファイルのデバイスパス
`fileitem/drive` ファイルのドライブ
Network データベースログでDNSレコードを検索するには、Historical Records IOCのNetworkインジケータを使用します。
`network/dns` ネットワークアプライアンスから取得されたDNSレコード
PortItem データベースログのネットワーク関連のクエリまたは実行中のプロセスの検索には、Historical Records IOCのPortItemインジケータを使用します。システム上のネットワーク関連の動作を監視するには、Monitoring IOCのPortItemインジケータを使用します。
`portitem/creationtime` 接続が確立されたときのタイムスタンプ例:`2000-04-12T09:14:38Z`
`portitem/localip` バインドしているローカルIPアドレス
`portitem/localport` バインドしているローカルポート
`portitem/process` 特定のポートにバインドしているプロセス名
`portitem/remoteip` 接続されているリモートIPアドレス
`portitem/remoteport` 接続されているリモートポート
ProcessItem データベースログのネットワーク関連のクエリについては、Historical Records IOCのProcessItemインジケータを使用します。システムスナップショットで実行中のプロセスを検索するには、System Process IOCのProcessItemインジケータを使用します。実行中のプロセスやWindowsサービスには、FileItemインジケータは使用しないでください。システム上のプロセスのアクティビティを監視するには、Monitoring IOCのProcessItemインジケータを使用します。
`processitem/handlelist/handle/name` ハンドル名またはハンドルへのパス
`processitem/handlelist/handle/type` Windowsのハンドルの種類
`processitem/name` 特定のプロセス名により作成された接続
`processitem/path` プロセスの実行可能ファイルへのファイルパス
`processitem/pid` WindowsプロセスのID番号
`processitem/portlist/portitem/creationtime` プロセスが作成されたときのタイムスタンプ例:`2000-04-12T09:14:38Z`
`processitem/portlist/portitem/localip` 接続されているローカルIPアドレス
`processitem/portlist/portitem/remoteip` 接続されているリモートIPアドレス
`processitem/sectionlist/memorysection/digitalsignature/certificateissuer` プロセスの証明書発行元セクション内のキーワード
`processitem/sectionlist/memorysection/digitalsignature/certificatesubject` プロセスの証明書サブジェクトセクション内のキーワード
`processitem/sectionlist/memorysection/sha1sum` プロセスまたはファイルに関連付けられたSHA-1ハッシュ値 (16進数形式)
`processitem/sectionlist/memorysection/md5sum` 不審プロセスのMD5ハッシュ値 (16進数形式)
`processitem/username` プロセス所有者のアカウント
RegistryItem システムスナップショットのWindowsレジストリ関連のクエリについては、Historical RecordsおよびSystem Process IOCのRegistryItemインジケータを使用します。システム上の自動実行プロセスに関連したレジストリの変更を監視するには、Monitoring IOCのRegistryItemインジケータを使用します。
`registryitem/keypath` 完全なレジストリパス例: HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Notepad\DefaultFonts
`registryitem/path` レジストリパス内のキーワード
`registryitem/value` レジストリデータ内のキーワード
`registryitem/valuename` レジストリエントリの名前
ServiceItem システムスナップショットでアクティブなWindowsサービスを検索するには、System Process IOCのServiceItemインジケータを使用します。実行中のプロセスやWindowsサービスには、FileItemインジケータは使用しないでください。
`serviceitem/description` サービスの説明内のキーワード
`serviceitem/descriptivename` わかりやすい完全なWindowsサービスの名前
`serviceitem/name` レジストリに保存されたWindowsサービスの短い名前
`serviceitem/servicedllcertificateissuer` サービスDLLの証明書発行元セクション内のキーワード
`serviceitem/servicedllcertificatesubject` サービスDLLの証明書サブジェクトセクション内のキーワード
`serviceitem/servicedllmd5sum` 不審サービスのMD5ハッシュ値 (16進数形式)
`serviceitem/startedas` サービスを開始したユーザアカウント
`serviceitem/status` サービスのステータス: `active` `inactive`
`serviceitem/type` Windowsサービスの種類
UserItem データベースログでユーザアカウントを検索するには、Historical Records IOCのUserItemインジケータを使用します。
`useritem/disabled` 無効にされたユーザ
`useritem/fullname` ドメインおよびユーザアカウントの名前例:`user@domain.com`
`useritem/grouplist/groupname` グループ名
`useritem/lastlogin` 最新の既知のアクセス例:`2000-04-12T09:14:38Z`
`useritem/username` ユーザアカウント名

注:

IOCファイルの構文が正しいことを確認してください。http://OpenIOC.org/で確認できるIOCスキーマおよび関連する指示に従ってください。
<Trend Micro Endpoint Sensorサーバのインストールパス>\CmdTool\IOCTool\フォルダにあるIOCToolを使用して、無効なIOCファイルをトラブルシューティングします。

詳細については、無効なIOCファイルのトラブルシューティングを参照してください。