スイープのSTIX 痕跡 パターン

Trend Micro Vision One は、さまざまなデータソースを一掃する前に、一掃に使用されるSTIX 痕跡 パターンを特定して取得します。

次の表は、さまざまなシナリオで適用される一般的なSTIX 痕跡 パターンに関する情報を示しています。

注:

STIX-Shifterを使用すると、 Trend Micro Vision One はSTIXパターン化を使用してサードパーティのデータソースに接続し、スイープ結果をSTIXオブザベーションとして返すことができます。次の表は、STIX-Shifter でサポートされているすべてのSTIX パターンを網羅しているわけではなく、トレンドマイクロ はテスト済みのSTIX パターンでのサポートのみを保証できます。

オブジェクトの種類

STIXパターン

エンドポイントアクティビティ データの場合

STIX-Shifterデータソースの場合(QRadar on Cloud)

ファイル

[file:hashes.'SHA-256 '='<SHA256 value> ']

はい

はい

[file:hashes.'SHA-1 '='<SHA1 value> ']

はい

はい

[file:hashes.MD5 = '<md5 value>']

はい

はい

[file:name = '<file name string>']

はい

はい

ドメイン

[domain-name:value = '<domain name string>']

はい

はい

URL

[url:value = '<url string>']

はい

はい

IPアドレス

[ipv4-addr:value = '<ip address>']

はい

はい

[ipv4-addr:value = '<ipcidr>']

いいえ

はい

[ipv6-addr:value = '<ip address>']

はい

はい

ネットワークトラフィック

[network-traffic:src_ref.type = 'ipv4-addr' AND network-traffic:src_ref.value = '<ip address>']

はい

いいえ

[network-traffic:dst_ref.type = 'ipv4-addr' AND network-traffic:dst_ref.value = '<ip address>']

はい

いいえ

[network-traffic:src_ref.type = 'ipv6-addr' AND network-traffic:src_ref.value = '<ip address>']

はい

いいえ

[network-traffic:dst_ref.type = 'ipv6-addr' AND network-traffic:dst_ref.value = '<ip address>']

はい

いいえ

[network-traffic:dst_ref.type = 'domain-name' AND network-traffic:dst_ref.value = '<domain name string>']

はい

いいえ

プロセス

[process:command_line = '<コマンドライン文字列>']

はい

はい

[process:parent_ref.command_line = '<コマンドライン文字列>']

はい

はい

ユーザアカウント

[user-account:account_login = '<アカウント名>']

はい

はい

レジストリ

[windows-registry-key:key = '<レジストリキーのパス>']

はい

いいえ

[windows-registry-value-type:name = 'レジストリキー名']

はい

いいえ

[windows-registry-value-type:data = 'レジストリキーのデータ]]

はい

いいえ

注:
  • STIX 2.0および2.1がサポートされています。

  • パターンに単一のオブジェクトが含まれる単純なインジケータのみがサポートされます。