カスタム条件でサポートされる形式

種類

項目

FQDN/IPアドレス/ホスト名

調査対象エンドポイントが確立したネットワーク接続を識別するためのリモートエンドポイントのFQDN、IPアドレス、またはホスト名を指定します。

注:

IPv6形式はサポートされていません。

例:

  • cncserver.com

  • malicioussite.com

  • 192.168.0.1

ユーザ名

Active Directoryアカウントまたはローカルユーザの名前を指定します。

例:

  • jane_smith

注:

ローカルユーザアカウントの名前 (<user name>) のみ使用します。ドメイン名は含めないでください。

ファイル名

拡張子を含む完全なファイル名を指定します。

例:

  • filename.exe

ファイルハッシュ値

ファイルのハッシュ値を指定します。

例:

  • SHA-1: a2da9cda33ce378a21f54e9f03f6c0c9efba61fa
  • SHA-256: D9FCB47915363186AEC3EF3EDAE0D92AC452BFA5A41C81D5E714E45583600561

ファイルディレクトリ

ファイル名を除くフルパスを指定します。

例:

  • c:\windows\system32\wbem\
注:

ファイル名は含めないでください。

レジストリキー

レジストリキー、レジストリ値の名前、またはレジストリ値のデータの全体または一部を指定します。

注:

  • リソースがエンドポイントに与える影響を軽減するために、トレンドマイクロは重要なレジストリの場所のアクティビティだけを記録します。

  • SID値をレジストリ条件として指定しないでください。調査では、カスタムのレジストリ条件としてSID値がサポートされていません。

  • 調査条件としてレジストリデータを使用する場合には、以下の制限があります。

    • 各エントリは2文字以上でなければなりません。

    • エントリにスペースを含めることはできません。

例:

  • レジストリキー

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • レジストリ値の名前

    RunTestExe

  • レジストリ値のデータ

    "c:\test\run_test.exe" –abc

レジストリ値の名前

レジストリ値のデータ

CLIコマンド

コマンドラインパラメータを指定します。

注:

調査条件としてコマンドラインを使用する場合には、以下の制限があります。

  • 各エントリは2文字以上でなければなりません。

  • エントリにスペースを含めることはできません。

例:

  • "C:\7z.exe" a "c:\log\test.7z" "c:\log\test.log"

  • taskhostw.exe -RegisterDevice -ProtectionStateChanged -FreeNetworkOnly
親トピック: 脅威の調査に対してカスタム条件を使用する