ビュー:

Trend Vision One は、さまざまなデータソースをスイープする前に、スイープに使用されるSTIX痕跡パターンを識別して取得します。

次の表は、さまざまなシナリオで適用される一般的なSTIX痕跡のパターンに関する情報を示しています。
注意
注意
STIX-Shifter を使用すると、 Trend Vision One が STIX パターニングを使用してサードパーティのデータ ソースに接続し、広範囲にわたる結果を STIX 観測として返すことができます。次の表は、STIX-Shifter でサポートされるすべての STIX パターンをカバーしているわけではありません。 トレンドマイクロ は、テストされた STIX パターンのサポートのみを保証します。
オブジェクトの種類
STIXパターン
エンドポイントアクティビティデータの場合
メールアクティビティデータの場合
ネットワークアクティビティデータの場合
STIX-Shifterデータソースの場合 (クラウド上のQRadar)
ファイル
[file:hashes.'SHA-256' = '<SHA256 value> ']
はい
はい
はい
はい
[file:hashes.'SHA-1' = '<SHA1 value> ']
はい
はい
はい
はい
[file:hashes.MD5 = '<md5 value> ']
はい
はい
いいえ
はい
[file:name = '<file name string> ']
はい
はい
はい
はい
ドメイン
[ドメイン名:値 = '<domain name string> ']
はい
はい
はい
はい
URL
[url:value = '<url string> ']
はい
はい
はい
はい
IPアドレス
[ipv4-addr:value = '<ip address> ']
はい
はい
はい
はい
[ipv4-addr:value = '<ip cidr> ']
いいえ
いいえ
いいえ
はい
[ipv6-addr:value = '<ip address> ']
はい
はい
はい
はい
ネットワークトラフィック
[network-traffic:src_ref.type = 'ipv4-addr' AND network-traffic:src_ref.value = '<ip address> ']
はい
はい
はい
いいえ
[network-traffic:dst_ref.type = 'ipv4-addr' AND network-traffic:dst_ref.value = '<ip address> ']
はい
はい
はい
いいえ
[network-traffic:src_ref.type = 'ipv6-addr' AND network-traffic:src_ref.value = '<ip address> ']
はい
はい
はい
いいえ
[network-traffic:dst_ref.type = 'ipv6-addr' AND network-traffic:dst_ref.value = '<ip address> ']
はい
はい
はい
いいえ
[network-traffic:dst_ref.type = 'domain-name' AND network-traffic:dst_ref.value = '<domain name string> ']
はい
はい
はい
いいえ
プロセス
[プロセス:command_line='<command line string> ']
はい
いいえ
いいえ
はい
[process:parent_ref.command_line='<command line string> ']
はい
いいえ
いいえ
はい
ユーザアカウント
[user-account:account_login = '<account name> ']
はい
いいえ
はい
はい
レジストリ
[windows-registry-key:key = '<registry key path> ']
はい
いいえ
いいえ
いいえ
[windows-registry-value-type:name = 'レジストリキー名']
はい
いいえ
いいえ
いいえ
[windows-registry-value-type:data = 'レジストリキーデータ']
はい
いいえ
いいえ
いいえ
注意
注意
  • STIX 2.0および2.1がサポートされています。
  • パターンに単一のオブジェクトが含まれるシンプルなインジケータのみがサポートされます。