Monitoring IOCは次の要件を正確に満たしている必要があります。
-
次のヘッダ情報が含まれている。
<ioc> <rule_name></rule_name> <rule_type></rule_type> <rule_description></rule_description> <last_modified_time></last_modified_time> <rule_category></rule_category> <author_name></author_name> <source></source> <internalnote></internalnote> <definition></definition> </ioc>
-
最初のインジケータ用語の属性としてtype="knownthreat"が含まれている。
<Indicator operator="AND" type="knownthreat">
-
Monitoring IOCでサポートされるインジケータ用語のみを使用している。
詳細については、サポートされるIOCインジケータの用語を参照してください。
-
「AND」演算子と「IS」条件のみを使用している。「contains」や「starts-with」など、その他の条件はすべて無視されます。
-
インジケータ項目が監視対象オブジェクトの詳細を明示的に指定している。Trend Micro Endpoint Sensorは、指定されたインジケータ項目のすべてが正確に一致する場合にのみ処理を実行します。
別の種類のIOCルールをMonitoring IOCとして変換する場合は、これらすべての要件が満たされていることを確認します。不足している情報は追加して、互換性を持たせてください。
一般に、Trend Micro Endpoint Sensorは、すべてのインジケータ項目を一致させてから [Submission Settings] に指定された処理を実行します。ただし、次のいずれかのインジケータ項目がMonitoring IOCに含まれている場合は、一致が見つかるとただちに処理を実行します。
-
Processitem/Portlist/Portitem/Remoteip
-
Fileitem/FullPath
-
Fileitem/Md5sum
-
Fileitem/Sha1sum
-
Portitem/Remoteip
-
Dnsentryitem/Host
-
Dnsentryitem/Recorddata/Ipv4address
詳細については、送信設定を参照してください。