現状調査でサポートされるIOCの痕跡

OpenIOCファイルは、侵入の痕跡 (IOC) を示す情報が1つ以上含まれているXMLファイルです。OpenIOCファイルでは、選択した調査の種類でサポートされるインジケータ (痕跡) 名が使用されていることを確認してください。

次の表は、調査でサポートされるIOCのインジケータを示しています。

表 1. 現状調査でサポートされるIOCの痕跡

カテゴリ

項目

必要条件

FILEITEM

FULLPATH

IS、CONTAINS、STARTS-WITH、ENDS-WITH

FILEPATH

IS

FILENAME

IS、CONTAINS、STARTS-WITH、ENDS-WITH

MD5SUM

IS

SHA1SUM

IS

SHA256SUM

IS

SIZEINBYTES

IS

CREATED

IS、GREATER-THAN、LESS-THAN

MODIFIED

GREATER-THAN、LESS-THAN

ACCESSED

GREATER-THAN、LESS-THAN

注:

選択後、Endpoint SensorにOpenIOCファイルのプレビューが表示されます。表示されたプレビューで、OpenIOCファイルにサポートされる痕跡と条件が含まれているかどうか確認します。サポートされていない組み合わせには取り消し線が付けられ、調査では無視されます。