STIX抽出ルール

演算子を使用したインジケータ

アップロードされたSTIXファイルに、インジケータを集約するための演算子が使用された条件が含まれている場合は、Apex Centralにより、そのSTIXインジケータが不審なオブジェクトとして抽出され、STIXインジケータの条件で使用された演算子に基づいて自動的に検索処理が設定されます。

演算子

検出時の処理

OR

抽出されたオブジェクトに対して、ユーザが定義した検出時の処理を適用します。

AND

抽出されたオブジェクトは、常に "ログの" 検索処理を適用します。

Apex Centralでは、次のSTIXインジケータの条件をサポートしています。

  • Equals

不審オブジェクトのマッピング

次の表では、抽出されたサポート対象のSTIXインジケータ (ウォッチリスト) とCyboxインジケータ (観測事象) に対応するApex Centralの不審オブジェクトの種類を示します。

オブジェクトの種類

STIXインジケータ

Cyboxインジケータ

ファイルSHA-1

ファイルハッシュウォッチリスト

  • cyboxCommon:Simple_Hash_Value

    (兄弟要素のcyboxCommon:Type="SHA1"を含む)

URL

URLウォッチリスト

  • URIObject:Value

    (親要素の属性@type="URL"を含む)

ドメイン

ドメインウォッチリスト

  • DomainNameObj:Value

    (親要素の属性@type="FQDN"を含む)

  • URIObject:Value

    (親要素の属性@type="Domain Name"を含む)

  • HostnameObject:Hostname_Value

IPアドレス

IPウォッチリスト

  • AddressObject:Address_Value

    (親要素の属性@category="ipv4-addr"を含む)