OpenIOC抽出ルール

演算子を使用したインジケータ

アップロードされたOpenIOCファイルに、インジケータを集約するための演算子が使用された条件が含まれている場合は、Apex Centralにより、そのOpenIOCインジケータが不審なオブジェクトとして抽出され、OpenIOCインジケータの条件で使用された演算子に基づいて自動的に検索処理が設定されます。

演算子

検出時の処理

OR

抽出されたオブジェクトに対して、ユーザが定義した検出時の処理を適用します。

AND

抽出されたオブジェクトは、常に "ログの" 検索処理を適用します。

Apex Centralでは、次のOpenIOCインジケータの条件 (IndicatorItemCondition) をサポートしています。

  • is

  • contains

不審オブジェクトのマッピング

次の表では、抽出されたサポート対象のOpenIOCインジケータ (IndicatorItem) に対応するApex Centralの不審オブジェクトの種類を示します。

オブジェクトの種類

OpenIOCインジケータ

ファイルSHA-1

FileItem/Sha1sum

Taskitem/ActionList/Action/ExecProgramSha1sum

DriverItem/Sha1sum

URL

Network/URI

FileDownloadHistoryItem/SourceURL

UrlHistoryItem/URL

ドメイン

Network/DNS

DnsEntryItem/Host

DnsEntryItem/RecordData/Host

UrlHistoryItem/HostName

CookieHistoryItem/HostName

FormHistoryItem/HostName

IPアドレス

ArpEntryItem/IPv4Address

DnsEntryItem/RecordData/IPv4Address

Email/ReceivedFromIP PortItem/localIP

PortItem/remoteIP

ProcessItem/PortList/PortItem/localIP

ProcessItem/PortList/PortItem/remoteIP

RouteEntryItem/Destination RouteEntryItem/Gateway

SystemInfoItem/networkArray/networkInfo/dhcpServerArray/dhcpServer

SystemInfoItem/networkArray/networkInfo/ipGatewayArray/ipGateway