檢視次數:

使用運算子的指標

如果上傳的 STIX 檔案中包含的條件使用運算子來結合指標,則 Trend Micro Apex Central 會將 STIX 指標解壓縮為可疑物件,並根據 STIX 指標條件中使用的運算子自動設定中毒處理行動。
運算子
中毒處理行動
OR
解壓縮後的物件套用使用者定義的中毒處理行動
AND
解壓縮後的物件一律套用「記錄」中毒處理行動
Trend Micro Apex Central 支援下列 STIX 指標條件:
  • 等於

可疑物件對應

下表列出解壓縮後每個受支援的 STIX 指標(監視清單)和 Cybox 指標(可觀察)的對應 Trend Micro Apex Central 可疑物件類型。
物件類型
STIX 指標
Cybox 指標
檔案 SHA-1
檔案雜湊監視清單
  • cyboxCommon:Simple_Hash_Value
    (具有同層級項目 cyboxCommon:Type="SHA1"
URL
URL 監視清單
  • URIObject:Value
    (具有父項目屬性 @type="URL"
網域
網域監視清單
  • DomainNameObj:Value
    (具有父項目屬性 @type="FQDN"
  • URIObject:Value
    (具有父項目屬性 @type="Domain Name"
  • HostnameObject:Hostname_Value
IP 位址
IP 監視清單
  • AddressObject:Address_Value
    (具有父項目屬性 @category="ipv4-addr"