現状調査でサポートされるIOCの痕跡
OpenIOCファイルは、侵入の痕跡 (IOC) を示す情報が1つ以上含まれているXMLファイルです。OpenIOCファイルでは、選択した調査の種類でサポートされるインジケータ (痕跡) 名が使用されていることを確認してください。
次の表は、調査でサポートされるIOCのインジケータを示しています。
|
カテゴリ |
項目 |
必要条件 |
|---|---|---|
|
FILEITEM |
FULLPATH |
IS、CONTAINS、STARTS-WITH、ENDS-WITH |
|
FILEPATH |
IS |
|
|
FILENAME |
IS、CONTAINS、STARTS-WITH、ENDS-WITH |
|
|
MD5SUM |
IS |
|
|
SHA1SUM |
IS |
|
|
SHA256SUM |
IS |
|
|
SIZEINBYTES |
IS |
|
|
CREATED |
IS、GREATER-THAN、LESS-THAN |
|
|
MODIFIED |
GREATER-THAN、LESS-THAN |
|
|
ACCESSED |
GREATER-THAN、LESS-THAN |
注:
選択後、Endpoint SensorにOpenIOCファイルのプレビューが表示されます。表示されたプレビューで、OpenIOCファイルにサポートされる痕跡と条件が含まれているかどうか確認します。サポートされていない組み合わせには取り消し線が付けられ、調査では無視されます。
親トピック: 現状調査
