情報の追加について
2024年4月11日
ID 222398
ノードと関係を図表に手動で追加する以外に、ノードに関連するオブジェクトの情報を自動的に追加することで、図表を改良できます。この情報のソースとして、Kaspersky CyberTrace 自体と Kaspersky Threat Intelligence Portal や VirusTotal などの外部ソースの両方を使用できます。改良プロセスを実行することは、情報の追加と呼ばれます。
大部分の図表改良ソースは、ドメイン部分に「*」文字を含む URL インジケーターの処理をサポートしていません。このような URL インジケーターがあるノードで情報の追加を実行すると、エラーが発生したり、出力が空になることがあります。
既定では、次の情報の追加が用意されています:
- 最初の標準 CyberTrace インジケーターと同じフィードからインジケーターを取得する:
- 関連するハッシュ
- 関連する URL
- 関連する IP アドレス
- 関連するすべてのインジケーター(ハッシュ、URL、IP アドレス)
- 標準 CyberTrace インジケーターに関連する最新の 100 の検知を取得する。
- Kaspersky Threat Intelligence Portal から情報を取得する。
Kaspersky Threat Intelligence Portal に接続するにはアクセストークンが必要です。
- URL タイプのインジケーター(標準 CyberTrace インジケーターおよび悪意のあるオブジェクトの外部インジケーター(不明なオブジェクトの外部インジケーター))の場合、次の情報を取得できます:
- 指定した URL にアクセスしたファイルのリスト
- 指定した URL からダウンロードされたファイルのリスト
- 指定した URL を指定した URL のリスト
- 指定した URL によって参照された URL のリスト
- 指定した URL の DNS 解決からの IP アドレス
- 指定した URL のレポートのリスト
- MD5、SHA1、SHA256 タイプのインジケーター(標準 CyberTrace インジケーターおよび悪意のあるオブジェクトの外部インジケーター(不明なオブジェクトの外部インジケーター))の場合、次の情報を取得できます:
- 指定したファイルによってアクセスされた URL のリスト
- 指定したファイルを実行するファイルのリスト
- 指定したファイルによって実行されたファイルのリスト
- 指定したファイルをダウンロードしたファイルのリスト
- 指定したファイルによってダウンロードされたファイルのリスト
- 指定したファイルのダウンロード元の URL のリスト
- 指定したファイルのレポートのリスト
- IP タイプのインジケーター(標準 CyberTrace インジケーターおよび悪意のあるオブジェクトの外部インジケーター(不明なオブジェクトの外部インジケーター))の場合、次の情報を取得できます:
- 指定した IP アドレスからダウンロードされたファイルのリスト
- 指定した IP アドレスに関連する URL のリスト
- 指定した IP アドレスのレポートのリスト
- URL タイプのインジケーター(標準 CyberTrace インジケーターおよび悪意のあるオブジェクトの外部インジケーター(不明なオブジェクトの外部インジケーター))の場合、次の情報を取得できます:
- VirusTotal からの情報の取得
VirusTotal に接続するにはアクセストークンが必要です。
- URL タイプのインジケーター(標準 CyberTrace インジケーターおよび悪意のあるオブジェクトの外部インジケーター(不明なオブジェクトの外部インジケーター))の場合、次の情報を取得できます:
- 指定した URL の情報
- 指定した URL と対話があったファイルのリスト
- 指定した URL がリソースをダウンロードしたドメインのリスト
- 指定した URL がリソースをダウンロードした IP アドレスのリスト
- 指定した URL からダウンロードされたファイルのリスト
- 指定した URL の最後の IP アドレス解決
- 指定した URL のネットワークの場所
- 指定した URL を含むファイルのリスト
- 指定した URL を参照する URL のリスト
- 指定した URL にリダイレクトする URL のリスト
- 指定した URL がリダイレクトする URL のリスト
- 指定したドメインが解決する IP アドレス
このような情報の追加については、Kaspersky CyberTrace は VirusTotal API にリクエストを送信する前に、ターゲットノードが確実にドメインかどうかを定義します。
ノードが「純粋な」ドメインな場合は、空の結果が返されます。
- 指定したドメインのサブドメインのリスト
このような情報の追加については、Kaspersky CyberTrace は VirusTotal API にリクエストを送信する前に、ターゲットノードが確実にドメインかどうかを定義します。
ノードが「純粋な」ドメインな場合は、空の結果が返されます。
- 指定したドメインの URL のリスト
このような情報の追加については、Kaspersky CyberTrace は VirusTotal API にリクエストを送信する前に、ターゲットノードが確実にドメインかどうかを定義します。
ノードが「純粋な」ドメインな場合は、空の結果が返されます。
- MD5、SHA1、SHA256 タイプのインジケーター(標準 CyberTrace インジケーターおよび悪意のあるオブジェクトの外部インジケーター(不明なオブジェクトの外部インジケーター))の場合、次の情報を取得できます:
- 指定したハッシュの情報
- 指定したハッシュを持つファイルと同じアーカイブでハンドルされたファイルのリスト
- 指定したハッシュを持つファイルの子のファイルのリスト
- 指定したハッシュを持つファイルの親のファイルのリスト
- 指定したハッシュを持つファイルを含むファイル(アーカイブ)のリスト
- 指定したハッシュを持つファイルによってコンタクトされたファイルのリスト
- 指定したハッシュを持つファイルによってコンタクトされた IP アドレスのリスト
- 指定したハッシュを持つファイルによってコンタクトされた URL のリスト
- 指定したハッシュを持つファイルによって削除されたファイルのリスト
- 指定したハッシュを持つファイルに埋め込まれたドメインのリスト
- 指定したハッシュを持つファイル内に埋め込まれた IP アドレスのリスト
- 指定したハッシュを持つファイルに埋め込まれた URL のリスト
- 指定したハッシュを持つファイルを実行するファイルのリスト
- 指定したハッシュを持つファイルがダウンロードされたドメイン のリスト
- 指定したハッシュを持つファイルがダウンロードされた IP アドレスのリスト
- 指定したハッシュを持つファイルがダウンロードされた URL のリスト
- IP タイプのインジケーター(標準 CyberTrace インジケーターおよび悪意のあるオブジェクトの外部インジケーター(不明なオブジェクトの外部インジケーター))の場合、次の情報を取得できます:
- 指定した IP アドレスの情報
- 指定した IP アドレスと対話があったファイルのリスト
- 指定した IP アドレスからダウンロードされたファイルのリスト
- 指定した IP アドレスを含むファイルのリスト
- 指定した IP アドレスに解決されるドメインのリスト
- 指定した IP アドレスにリダイレクトされる URL のリスト
- URL タイプのインジケーター(標準 CyberTrace インジケーターおよび悪意のあるオブジェクトの外部インジケーター(不明なオブジェクトの外部インジケーター))の場合、次の情報を取得できます: