STIX抽出ルール

演算子を使用したインジケータ

アップロードされたSTIXファイルに、インジケータを集約するための演算子が使用された条件が含まれている場合は、Apex Centralにより、そのSTIXインジケータが不審なオブジェクトとして抽出され、STIXインジケータの条件で使用された演算子に基づいて自動的に検索処理が設定されます。

演算子	検出時の処理
OR	抽出されたオブジェクトに対して、ユーザが定義した検出時の処理を適用します。
AND	抽出されたオブジェクトは、常に "ログの" 検索処理を適用します。

Apex Centralでは、次のSTIXインジケータの条件をサポートしています。

次の表では、抽出されたサポート対象のSTIXインジケータ (ウォッチリスト) とCyboxインジケータ (観測事象) に対応するApex Centralの不審オブジェクトの種類を示します。

オブジェクトの種類	STIXインジケータ	Cyboxインジケータ
ファイルSHA-1	ファイルハッシュウォッチリスト	`cyboxCommon:Simple_Hash_Value` (兄弟要素の`cyboxCommon:Type="SHA1"`を含む)
URL	URLウォッチリスト	`URIObject:Value` (親要素の属性`@type="URL"`を含む)
ドメイン	ドメインウォッチリスト	`DomainNameObj:Value` (親要素の属性`@type="FQDN"`を含む) `URIObject:Value` (親要素の属性`@type="Domain Name"`を含む) `HostnameObject:Hostname_Value`
IPアドレス	IPウォッチリスト	`AddressObject:Address_Value` (親要素の属性`@category="ipv4-addr"`を含む)