スイープのSTIX 痕跡 パターン
Trend Micro Vision One は、さまざまなデータソースを一掃する前に、一掃に使用されるSTIX 痕跡 パターンを特定して取得します。
次の表は、さまざまなシナリオで適用される一般的なSTIX 痕跡 パターンに関する情報を示しています。
STIX-Shifterを使用すると、 Trend Micro Vision One はSTIXパターン化を使用してサードパーティのデータソースに接続し、スイープ結果をSTIXオブザベーションとして返すことができます。次の表は、STIX-Shifter でサポートされているすべてのSTIX パターンを網羅しているわけではなく、トレンドマイクロ はテスト済みのSTIX パターンでのサポートのみを保証できます。
|
オブジェクトの種類 |
STIXパターン |
エンドポイントアクティビティ データの場合 |
STIX-Shifterデータソースの場合(QRadar on Cloud) |
|---|---|---|---|
|
ファイル |
[file:hashes.'SHA-256 '='<SHA256 value> '] |
はい |
はい |
|
[file:hashes.'SHA-1 '='<SHA1 value> '] |
はい |
はい |
|
|
[file:hashes.MD5 = '<md5 value>'] |
はい |
はい |
|
|
[file:name = '<file name string>'] |
はい |
はい |
|
|
ドメイン |
[domain-name:value = '<domain name string>'] |
はい |
はい |
|
URL |
[url:value = '<url string>'] |
はい |
はい |
|
IPアドレス |
[ipv4-addr:value = '<ip address>'] |
はい |
はい |
|
[ipv4-addr:value = '<ipcidr>'] |
いいえ |
はい |
|
|
[ipv6-addr:value = '<ip address>'] |
はい |
はい |
|
|
ネットワークトラフィック |
[network-traffic:src_ref.type = 'ipv4-addr' AND network-traffic:src_ref.value = '<ip address>'] |
はい |
いいえ |
|
[network-traffic:dst_ref.type = 'ipv4-addr' AND network-traffic:dst_ref.value = '<ip address>'] |
はい |
いいえ |
|
|
[network-traffic:src_ref.type = 'ipv6-addr' AND network-traffic:src_ref.value = '<ip address>'] |
はい |
いいえ |
|
|
[network-traffic:dst_ref.type = 'ipv6-addr' AND network-traffic:dst_ref.value = '<ip address>'] |
はい |
いいえ |
|
|
[network-traffic:dst_ref.type = 'domain-name' AND network-traffic:dst_ref.value = '<domain name string>'] |
はい |
いいえ |
|
|
プロセス |
[process:command_line = '<コマンドライン文字列>'] |
はい |
はい |
|
[process:parent_ref.command_line = '<コマンドライン文字列>'] |
はい |
はい |
|
|
ユーザアカウント |
[user-account:account_login = '<アカウント名>'] |
はい |
はい |
|
レジストリ |
[windows-registry-key:key = '<レジストリキーのパス>'] |
はい |
いいえ |
|
[windows-registry-value-type:name = 'レジストリキー名'] |
はい |
いいえ |
|
|
[windows-registry-value-type:data = 'レジストリキーのデータ]] |
はい |
いいえ |
-
STIX 2.0および2.1がサポートされています。
-
パターンに単一のオブジェクトが含まれる単純なインジケータのみがサポートされます。
