OpenIOC抽出ルール
演算子を使用したインジケータ
アップロードされたOpenIOCファイルに、インジケータを集約するための演算子が使用された条件が含まれている場合は、Apex Centralにより、そのOpenIOCインジケータが不審なオブジェクトとして抽出され、OpenIOCインジケータの条件で使用された演算子に基づいて自動的に検索処理が設定されます。
|
演算子 |
検出時の処理 |
|---|---|
|
OR |
抽出されたオブジェクトに対して、ユーザが定義した検出時の処理を適用します。 |
|
AND |
抽出されたオブジェクトは、常に "ログの" 検索処理を適用します。 |
Apex Centralでは、次のOpenIOCインジケータの条件 (IndicatorItemCondition) をサポートしています。
-
is
-
contains
不審オブジェクトのマッピング
次の表では、抽出されたサポート対象のOpenIOCインジケータ (IndicatorItem) に対応するApex Centralの不審オブジェクトの種類を示します。
|
オブジェクトの種類 |
OpenIOCインジケータ |
|---|---|
|
ファイルSHA-1 |
FileItem/Sha1sum |
|
Taskitem/ActionList/Action/ExecProgramSha1sum |
|
|
DriverItem/Sha1sum |
|
|
URL |
Network/URI |
|
FileDownloadHistoryItem/SourceURL |
|
|
UrlHistoryItem/URL |
|
|
ドメイン |
Network/DNS |
|
DnsEntryItem/Host |
|
|
DnsEntryItem/RecordData/Host |
|
|
UrlHistoryItem/HostName |
|
|
CookieHistoryItem/HostName |
|
|
FormHistoryItem/HostName |
|
|
IPアドレス |
ArpEntryItem/IPv4Address |
|
DnsEntryItem/RecordData/IPv4Address |
|
|
Email/ReceivedFromIP PortItem/localIP |
|
|
PortItem/remoteIP |
|
|
ProcessItem/PortList/PortItem/localIP |
|
|
ProcessItem/PortList/PortItem/remoteIP |
|
|
RouteEntryItem/Destination RouteEntryItem/Gateway |
|
|
SystemInfoItem/networkArray/networkInfo/dhcpServerArray/dhcpServer |
|
|
SystemInfoItem/networkArray/networkInfo/ipGatewayArray/ipGateway |
