[
Indicators]ページで、データベース内に存在するインジケーターを検索できます。このページにアクセスするには、Data management モードに切り替える必要があります。
インジケーターを検索するには:
検索値の長さは、Unicode で 1~1024 文字である必要があります。
[Indicators]ページに、指定された文字列に一致するインジケーターのリストが表示されます。この検索を保存して、将来使用することができます。
検索構文
インジケーターデータベースを検索するために指定する文字列は、特定の構文に準拠している必要があります。検索文字列の例は次の通りです:
ioc_value: 192.0.2* OR (ioc_type: md5 AND ioc_updated_date:=01.01.2020)
検索文字列では、次の属性名を使用できます:
属性名 |
説明 |
|
インジケーターのタイプ。 |
|
インジケーターの値。 |
|
リクエストしたインジケーターがデータベースに追加された日時。 |
|
インジケーターが最後に更新された日時。 |
|
インジケーターに関するコメント。 |
|
InternalTI 脅威インジケーターからのインジケーターに関するサマリ情報。 |
|
検知アラートを最初に受信した日時。 |
|
検知アラートを最後に受信した日時。 |
|
インジケーターを InternalTI 脅威インジケーター / FalsePositive 脅威インジケーターに追加したユーザーの名前。 |
|
マッチングプロセスでインジケーターを使用できることを示すフラグ。 このフラグが使用されるインジケーターは、脅威インジケーターの更新時または保持時間の期限切れ時に削除される必要があるが、InternalTI 脅威インジケーターに属しているか、このようなインジケーターが検知プロセスに含まれていたために削除されなかったインジケーターです。 このパラメータの値として |
|
脅威インジケーターからのインジケーターに関する情報が最後に更新された日時。 |
|
SIEM システムに検知アラートを送信するためのフラグ。 |
|
インジケーターの脅威インジケーターの名前。 Kaspersky CyberTrace では、次のタイプの脅威インジケーターがサポートされています:
[Feeds]タブの[False positives]ウィンドウを介して誤検知リストにインジケーターを追加する場合、またはインジケーターを誤検知としてマークする場合、この値は FalsePositive です。 |
|
脅威インジケーターの信頼性のレベル。 |
|
脅威インジケーターのベンダーの名前。 |
|
インジケーターに関連する背景情報。 この属性には、ネストされた属性を含めることができます。ネストされた属性をすべて検索するためのルールについて、次に説明します。 |
検索リクエストには次の構文を使用します:
Kaspersky CyberTrace では、エスケープ文字として \ を使用します。
例 #1:supplier_vendor_name: Vendor\ Test – 「Vendor Test」という名前のベンダーを持つソースに属する、すべてのインジケーターが返されます。
例 #2:supplier_vendor_name: Vendor Test – 「Vendor」という名前のベンダーを持つソースに属するすべてのインジケーター、または背景情報に「test」という単語があるインジケーターが返されます。
{})、境界値を含める場合は大括弧([])を使用します。開始値と終了値で、境界値を含める / 含めないのタイプが異なる場合は、中括弧と大括弧を組み合わせることができます。検索リクエストでは、引用符およびこれらの括弧をすべてペアにする必要があります。部分文字列に前述の特殊文字が含まれていない場合、検索の部分文字列を引用符で囲むことはできません。この場合、検索結果には、インジケーターとフィールドのいずれかの値と完全に一致する指定した部分文字列のみが含まれます。したがって、検索の部分文字列が、(完全一致ではなく)部分一致するインジケーターを見つける場合は、ワイルドカード(アスタリスク(*)または疑問符(?)、以下参照)を使用します。
次の例では、引用符、およびペアでないあらゆるタイプの括弧を使用できます:
例:ioc_value:asd\]
例:ioc_value:"1234]"
:)は、インジケーターの属性名の後ろにのみ使用するか、エスケープ文字と一緒に使用します。間違ったリクエストの例:( )
正しいリクエストの例:(" ")
{})および大括弧([])内では、%begin_value% TO %end_value% のパターンを使用してください。この場合の %begin_value% と %end_value% は、それぞれ範囲の開始と終了を表す値です(大括弧を引用符で囲む場合は除きます)。間違ったリクエストの例:[* 100]
正しいリクエストの例:[* TO 100]
間違ったリクエストの例:ioc_type:
正しいリクエストの例:ioc_type:url
AND、OR、NOT)は、引用符なしですべて大文字で使用します。AND および OR の前後にはスペースを挿入します。論理演算子 NOT を左括弧またはコロンの直後に指定する場合、NOT の左にはスペースを挿入しません。間違ったリクエストの例:supplier_confidence:(89OR91)
正しいリクエストの例:supplier_confidence:NOT(89 OR 91)
間違ったリクエストの例:supplier_confidence:(89 OR)
正しいリクエストの例:supplier_confidence:(89 OR 91)
ioc_supplier_context 属性で、特定のネストされた属性を検索する場合はピリオドを使用します。例:ioc_supplier_context.files.threat:"HEUR:Exploit.SWF.Generic"
ioc_supplier_context 属性で検索文字列にスペース文字が含まれる場合は、スペース文字の前に「\」(バックスラッシュ)を使用します。例:ioc_supplier_context.details.SMS\ Number:1003
ioc_supplier_context 属性で、ネストされた属性をすべて検索には、ioc_supplier_context.\\* パターンを使用します。例:ioc_supplier_context.\\*:HEUR
*)、単一の文字を表す場合は疑問符(?)を使用します。例 #1:supplier_vendor_name: Vendor –「Vendor」という名前のベンダーを持つソースに属するインジケーターの検索。
例 #2:supplier_vendor_name: Vendor* – 名前が「Vendor」で始まるベンダーを持つソースに属するインジケーターの検索。
リクエストの先頭にアスタリスク(*)を使用すると、インジケーターのデータベース内のすべての属性値がチェックされる可能性があります。これは通常、データベースからのレスポンスに時間がかかる原因となります。
例
次のリクエストは、いずれかのインジケーター属性に部分文字列 at, ca, kr, ru, ir が含まれるインジケーターをすべて表示します:
"at, ca, kr, ru, ir" |
次のリクエストは、89 または 91 と等しい supplier_confidence 属性値を持つインジケーターをすべて表示します:
|
次のリクエストは、部分文字列 123321 を含む ioc_value 属性値を持つインジケーターをすべて表示します:
ioc_value:"123321" |
次のリクエストは、2012-01-01 ~ 2012-12-31 の間(開始と終了の境界を含む)に、データベースに追加されたインジケーターをすべて表示します:
ioc_created_date:[2012-01-01 TO 2012-12-31] |
次のリクエストは、信頼性のレベルが 10 ~ 50 の範囲(境界を含む)であるインジケーターをすべて表示します:
supplier_confidence:{10 TO 50} |
次のリクエストは、threat_score コンテキストフィールドの値が 75 より大きいインジケーターをすべて表示します:
ioc_supplier_context.threat_score:[75 TO *] |
次のリクエストは、ファイル / 脅威コンテキスト属性に部分文字列 HEUR:Exploit.SWF.Generic が含まれるインジケーターをすべて表示します:
ioc_supplier_context.files.threat:"HEUR:Exploit.SWF.Generic" |
次のリクエストは、いずれかのネストレベルに HEUR 値が含まれているコンテキスト属性を持つインジケーターをすべて表示します:
ioc_supplier_context.\\*:HEUR |