在掃描不同資料來源之前,Trend Vision One 會識別並捕捉用於掃描的 STIX 指標模式。
下表提供了在不同情境下應用的常見STIX指標模式的資訊。
 |
注意STIX-Shifter 允許 Trend Vision One 使用 STIX Patterning 連接到第三方資料來源,並以 STIX Observations 的形式返回全面的結果。下表不涵蓋 STIX-Shifter
支援的所有 STIX 模式,且 趨勢科技 只能保證對已測試的 STIX 模式提供技術支援中心。
|
|
物件類型
|
STIX 模式
|
端點活動資料
|
電子郵件活動資料
|
網路活動資料防護
|
針對 STIX-Shifter 資料來源 (雲端上的 QRadar)
|
|
檔案
|
[file:hashes.'SHA-256' = '<SHA256 value>']
|
是
|
是
|
是
|
是
|
|
[file:hashes.'SHA-1' = '<SHA1 value>']
|
是
|
是
|
是
|
是
|
|
|
[file:hashes.MD5 = '<md5 value>']
|
是
|
是
|
No
|
是
|
|
|
[file:name = '<檔案名稱 string>']
|
是
|
是
|
是
|
是
|
|
|
網域
|
[domain-name:value = '<domain name string>']
|
是
|
是
|
是
|
是
|
|
URL
|
[url:value = '<url string>']
|
是
|
是
|
是
|
是
|
|
IP 位址
|
[ipv4-addr:value = '<ip address>']
|
是
|
是
|
是
|
是
|
|
[ipv4-addr:value = '<ip cidr>']
|
No
|
No
|
No
|
是
|
|
|
[ipv6-addr:value = '<ip address>']
|
是
|
是
|
是
|
是
|
|
|
網路流量
|
[network-traffic:src_ref.type = 'ipv4-addr' AND network-traffic:src_ref.value = '<ip
address>']
|
是
|
是
|
是
|
No
|
|
[network-traffic:dst_ref.type = 'ipv4-addr' AND network-traffic:dst_ref.value = '<ip
address>']
|
是
|
是
|
是
|
No
|
|
|
[network-traffic:src_ref.type = 'ipv6-addr' AND network-traffic:src_ref.value = '<ip
address>']
|
是
|
是
|
是
|
No
|
|
|
[network-traffic:dst_ref.type = 'ipv6-addr' AND network-traffic:dst_ref.value = '<ip
address>']
|
是
|
是
|
是
|
No
|
|
|
[network-traffic:dst_ref.type = 'domain-name' AND network-traffic:dst_ref.value =
'<domain name string>']
|
是
|
是
|
是
|
No
|
|
|
處理程序
|
[process:command_line='<command line string>']
|
是
|
No
|
No
|
是
|
|
[process:parent_ref.command_line='<command line string>']
|
是
|
No
|
No
|
是
|
|
|
使用者帳號
|
[user-account:account_login = '<account name>']
|
是
|
No
|
是
|
是
|
|
登錄檔
|
[windows-registry-key:key = '<registry key path>']
|
是
|
No
|
No
|
No
|
|
[windows-registry-value-type:name = '註冊表鍵名稱']
|
是
|
No
|
No
|
No
|
|
|
[windows-registry-value-type:data = '登錄檔鍵值資料']
|
是
|
No
|
No
|
No
|
|
注意
|