VPCフローログのThreat Intelligence Sweepingテスト

手順

1. Trend Vision Oneコンソールで、XDR Threat Investigation → Searchに移動します。
2. 過去30日間のVPCフローログデータを検索します。
   [ネットワークアクティビティデータ] 検索方法を使用し、[productCode: vpc] でフィルタリングします。
3. 例のアクティビティを選択し、次のフィールドのいずれかをコピーしてください:
   • src: 送信元IPアドレス
   • dst: 送信先IPアドレス
   • pktSrcAddr: パケットソースアドレス
   • pktDstAddr: パケット宛先アドレス
4. レポートテンプレートを使用して、カスタムデモテンプレートを作成します。
   デモテンプレートでは、"objects"の下にある次の属性の値を置き換えてください:

   • "name": 認識可能な名前に "${name}" を置き換えます。
     例えば、"name": "VPC Flow Log Test"
   • "id": "${report_id}" をGUIDを含むレポート名に置き換えます。
     例えば、"id": "report--a763cbf4-3562-456e-a319-ef94e33ead72"
   • "pattern": 検索値で "${pattern}" を置き換えます。
     これは、前のステップで検索結果からコピーしたIPv4アドレス値で、形式は"[ipv4-addr:value = 'x.x.x.x']"です。例えば、送信先IPアドレスが8.8.8.8の場合、属性:valueセットを"pattern": "[ipv4-addr:value = '8.8.8.8']"として指定します

   次のコードを使用してデモテンプレートを作成します。デモテンプレートはJSON形式で書かれたSTIXファイルです。

   {
       "type": "bundle",
       "id": "bundle--f084b7bb-cec2-4547-b9af-2076359b8647",
       "objects": [
           {
               "created_by_ref": "identity--a9cbc950-6454-4e73-ab75-b2a16c76adc5",
               "name": "${name}",
               "published": "2022-09-09T07:21:23.921Z",
               "modified": "2022-09-09T07:21:23.921Z",
               "report_types": [
                   "indicator"
               ],
               "object_refs": [
                   "identity--a9cbc950-6454-4e73-ab75-b2a16c76adc5",
                   "indicator--491094c9-3245-48b4-9f2e-f53aae86c767"
               ],
               "type": "report",
               "id": "${report_id}",
               "created": "2022-09-09T07:21:23.921Z",
               "spec_version": "2.1"
           },
           {
               "type": "identity",
               "id": "identity--a9cbc950-6454-4e73-ab75-b2a16c76adc5",
               "created": "2022-09-09T07:21:23.921Z",
               "modified": "2022-09-09T07:21:23.921Z",
               "spec_version": "2.1"
           },
           {
               "valid_from": "2022-09-09 07:21:10",
               "created_by_ref": "identity--a9cbc950-6454-4e73-ab75-b2a16c76adc5",
               "created": "2022-09-09T07:21:23.921Z",
               "pattern": "${pattern}",
               "pattern_type": "stix",
               "labels": [
                   "malicious-activity"
               ],
               "modified": "2022-09-09T07:21:23.921Z",
               "type": "indicator",
               "id": "indicator--491094c9-3245-48b4-9f2e-f53aae86c767",
               "spec_version": "2.1",
               "description": ""
           }
       ]
   }

   最良の結果を得るには、ファイルを {report_id}.json として保存し、ファイル名に GUID を含めてください。
5. [Threat Intelligence] → [Intelligence Reports] → [カスタム] に移動します。
6. [追加] をクリックします。
7. [方法] で [STIXファイル] を選択します。
8. [ファイルを選択...] をクリックして、作成したデモテンプレートファイルを見つけてください。
9. [送信] をクリックします。
10. 作成したカスタムレポートを見つけて、オプションアイコン () をクリックします。
11. レポートを実行するには[スイーピングを開始]を選択します。
    正しく構成されている場合、一致するスイープがリンクされたWorkbenchアラートと共に表示されます。リンクをクリックして、Workbenchアプリでアラートを表示します。