⾼度な検索語句

In document cbd-userguide.book (Page 176-180)

この付録では、アラート リスト ページまたは [Investigate (調査)] ページの⾼度な検 索クエリで使用できる検索語について説明します。

表 42: ⾼度な検索語句

検索クエリ 説明

Alert (アラート)

attack stage (攻撃段階) "killChainStatus" とほぼ同じですが、異なるクエリ値を 使用します。有効な値については、を参照してください。

deviceSecurityEventCode アラートに関連付けられているイベントのアラート ID で す。

killChainStatus キル チェーンの各段階にマッピングされます。有効な値 については、を参照してください。

threatScore イベントが脅威に関連付けられている場合の 1 〜 10 の優 先度。

Device (デバイス)

agentLocation オンプレミスまたはオフプレミス。“ プレミスの定義 ” を 参照してください。

deviceName エンドポイントのホスト名。

deviceId センサーに関連付けられているデバイス ID。

deviceIpAddress デバイスの IP アドレス。パブリック IP でのみ機能します。

deviceType メジャー OS タイプ : Windows または MAC。

例 :deviceType:win*、deviceType:mac。

deviceVersion OS の詳細なバージョンを表す文字列。

例 : deviceVersion:"Windows 10 x64"。

email インストール ユーザーに関連付けれらた E メール アドレ ス。ドメイン名は不要です。

groupName イベント時にセンサーがあったポリシー。部分的テキスト 検索がサポートされます。

targetPriorityType イ ベ ン ト 時 に ポ リ シ ー に よ っ て 定 義 さ れ て い た LOW

(低)|MEDIUM (中)|HIGH (⾼)|CRITICAL (重⼤) の いずれか。

General (一般)

eventId このイベントの⼀意の識別子。

Operation ポリシー操作に⼀致するイベント。 の「操作の試⾏」を参 照してください。

syslogLevel イ ベ ン ト に 関 連 付 け ら れ て い る Syslog レ ベ ル。

syslogLevel:"NOTICE" = 監 視 対 象 イ ベ ン ト、

syslogLevel:"WARNING" = 脅威イベント。

threatIndicators イベントに関連付けられた TTP。例 :[ "ADAPTIVE_WHITE _APP", "ACTIVE_SERVER", "NETWORK_ACCESS" ]。

TTP イベントに関連付けられた TTP。例 : INJECT_CODE。

Network (ネットワーク)

destAddress ネットワーク イベントの宛先 IP アドレス。

destPort ネットワーク イベントの宛先ポート。

service ネットワーク接続の L4 プロトコルとポート番号を示すテ キスト文字列。例 : TCP/80、UDP/53。引用符で囲む必要 があります。

sourceAddress ネットワーク イベント内の発信元 IP アドレス。デバイス の IP アドレスとは異なる場合があります。

sourcePort ネットワーク イベント内の接続の発信元ポート。

Process (プロセス)

applicationName イベントの主なプロセスの名前。

applicationPath イベントの主なプロセスのフル パス。

commandLine イベントの主なプロセスによって確認されるコマンド ライ ン。テキスト検索内の空白は、AND として処理されます。

parentCommandLine イベントの親プロセスによって確認されるコマンド ライ ン。テキスト検索内の空白は、AND として処理されます。

parentHash イベントの親プロセスの SHA256。

parentName イベントの親アプリケーションの名前。

parentPid イベントの親プロセスに関連付けられたプロセス ID。

processHash イベントの主なプロセスの SHA256 ハッシュ。

processId イベントの主なプロセスに関連付けられたプロセス ID。

processMd5Hash イベントの主なプロセスの MD5 ハッシュ (ポリシーでこ の機能が有効な場合)。

targetAppName イベントの子プロセスの名前。

targetCommandLine イベントの子プロセスによって確認されるコマンド ライ ン。空白は AND 演算子として処理されます。

検索クエリ 説明

targetHash イベントの子プロセスの SHA256。

targetMd5Hash イベントの子プロセスの MD5 ハッシュ (ポリシーでこの 機能が有効な場合)。

targetPid イベントの子プロセスのプロセス ID。

userName イベントの主なプロセスに関連付けられたユーザー コン テキスト。

レピュテーション

(Reputation)

childEffectiveReputation ポリシー適用に使用されるイベントの子プロセスのレピ ュテーション。有効なレピュテーション :

COMPANY_WHITE_LIST、COMPANY_BLACK_LIST、

L O C A L _ W H I T E 、C O M M O N _ W H I T E _ L I S T 、 T R U S T E D _ W H I T E _ L I S T 、N O T _ L I S T E D 、 K N O W N _ M A L W A R E 、U N K N O W N 、P U P 、 SUSPECT_MALWARE。

childEffectiveReputation Source

ポリシー適用に使用されるイベントの子プロセスのレピ ュテーション ソース。有効なレピュテーション ソース : AV 、C E RT 、C LO U D 、H A S H _ R E P U TAT I O N _ L I ST 、 PRE_EXISTING、WHITE_DATABASE、YARA、VECTOR、

CERT、CHECKSUM、SELF、NO_HOOK。

parentEffectiveReputation ポリシー適用に使用されるイベントの親プロセスのレピ ュテーション。有効なレピュテーション :

COMPANY_WHITE_LIST、COMPANY_BLACK_LIST、

L O C A L _ W H I T E 、C O M M O N _ W H I T E _ L I S T 、 T R U S T E D _ W H I T E _ L I S T 、N O T _ L I S T E D 、 K N O W N _ M A L W A R E 、U N K N O W N 、P U P 、 SUSPECT_MALWARE。

parentEffectiveReputatio nSource

ポリシー適用に使用されるイベントの親プロセスのレピ ュテーション ソース。有効なレピュテーション ソース : AV 、C E RT 、C LO U D 、H A S H _ R E P U TAT I O N _ L I ST 、 PRE_EXISTING、WHITE_DATABASE、YARA、VECTOR、

CERT、CHECKSUM、SELF、NO_HOOK。

parentReputationProperty イベントの親プロセスのレピュテーション。有効なレピュ テーション: COMPANY_WHITE_LIST、COMPANY_BLACK_

L I ST 、LO C A L _ W H I T E 、CO M M O N _ W H I T E _ L I ST 、 TRUSTED_WHITE_LIST、NOT_LISTED、KNOWN_

MALWARE、UNKNOWN、PUP、SUSPECT_MALWARE。

processEffectiveReputation ポリシー適用に使用されるイベントの主なプロセスのレ ピュテーション。有効なレピュテーション : COMPANY_

WHITE_LIST、COMPANY_BLACK_LIST、LOCAL_WHITE、

COMMON_WHITE_LIST、TRUSTED_WHITE_LIST、

NOT_LISTED、KNOWN_MALWARE、UNKNOWN、PUP、

SUSPECT_MALWARE。

検索クエリ 説明

表 43: キル チェーンの段階 - クエリ

processEffectiveReputati

onSource

ポリシー適用に使用されるイベントの主なプロセスのレ ピュテーション ソース。有効なレピュテーション ソース : AV 、C E RT 、C LO U D 、H A S H _ R E P U TAT I O N _ L I ST 、 PRE_EXISTING、WHITE_DATABASE、YARA、VECTOR、

CERT、CHECKSUM、SELF、NO_HOOK。

processReputationProper ty

イベントの主なプロセスのレピュテーション。有効なレピ ュ テ ー シ ョ ン : COMPANY_WHITE_LIST、COMPANY_

BLACK_LIST、LOCAL_WHITE、COMMON_WHITE_LIST、

TRUSTED_WHITE_LIST、NOT_LISTED、KNOWN_

MALWARE、UNKNOWN、PUP、SUSPECT_MALWARE。

targetEffectiveReputation ポリシー適用に使用されるイベントの子プロセスのレピ ュテーション。有効なレピュテーション :

COMPANY_WHITE_LIST、COMPANY_BLACK_LIST、

L O C A L _ W H I T E 、C O M M O N _ W H I T E _ L I S T 、 TRUSTED_WHITE_LIST、NOT_LISTED、KNOWN_

MALWARE、UNKNOWN、PUP、SUSPECT_MALWARE、

NOT_LISTED。

targetEffectiveReputation Source

ポリシー適用に使用されるイベントの子プロセスのレピ ュテーション ソース。有効なレピュテーション ソース : AV 、C E RT 、C LO U D 、H A S H _ R E P U TAT I O N _ L I ST 、 PRE_EXISTING、WHITE_DATABASE、YARA、VECTOR、

CERT、CHECKSUM、SELF、NO_HOOK。

targetReputationProperty イベントの子プロセスのレピュテーション。有効なレピュ テ ー シ ョ ン : COMPANY_WHITE_LIST、COMPANY_

BLACK_LIST、LOCAL_WHITE、COMMON_WHITE_LIST、

TRUSTED_WHITE_LIST、NOT_LISTED、KNOWN_

MALWARE、UNKNOWN、PUP、SUSPECT_MALWARE、

NOT_LISTED。

クエリ 説明

調査 ターゲットを調査、識別、および選択します。

武器化 配信可能なペイロードを作成します。

deliver_exploit 配信して、コードを実⾏します。

install_run バック ドアをインストールし、永続アクセスを許可します。

COMMAND_AND_CONTR OL

外部デバイスからコードで通信します。

Execute_Goal 目的を達成します。

検索クエリ 説明

A p p e n d i x G

In document cbd-userguide.book (Page 176-180)