サポート

法人向けアプリケーション

Kaspersky CyberTrace

ユーザーガイド

Kaspersky CyberTrace Web の使用

インジケーターの使用

検索構文
Kaspersky CyberTrace
Нет результатов
オンラインヘルプ
よくある質問まとめ (FAQ) システム要件 ダウンロード サポートへ問い合わせる 無料ツール 製品ビデオ (英語)

検索構文

2024年4月11日

ID 203344

Kaspersky CyberTrace では、次の属性名によってインジケーターデータベースを検索できます:

属性名

説明

ioc_type

インジケータータイプ。

ioc_value

インジケーター値。

ioc_created_date

リクエストしたインジケーターがデータベースに追加された日時。

ioc_updated_date

インジケーターが最後に更新された日時。

ioc_comment

インジケーターに関するコメント。

ioc_summary

InternalTI 脅威インジケーターからのインジケーターに関するサマリ情報。

ioc_first_detected_date

検知イベントを最初に受信した日時。

ioc_last_detected_date

検知イベントを最後に受信した日時。

username

インジケーターを InternalTI 脅威インジケーター / FalsePositive 脅威インジケーターに追加したユーザーの名前。

ioc_supplier_can_match

マッチングプロセスでインジケーターを使用できることを示すフラグ。

このフラグが使用されるインジケーターは、脅威インジケーターの更新時または保持時間の期限切れ時に削除される必要があるが、InternalTI 脅威インジケーターに属しているか、このようなインジケーターが検知プロセスに含まれていたために削除されなかったインジケーターです。

このパラメータの値として true または false を使用してください。

ioc_supplier_last_updated_date

脅威インジケーターからのインジケーターに関する情報が最後に更新された日時。

ioc_supplier_send_match_event

SIEM ソリューションに検知イベントを送信するためのフラグ。

supplier_name

インジケーターの脅威インジケーターの名前。

Kaspersky CyberTrace では、次のタイプの脅威インジケーターがサポートされています:

  • ダウンロードしたフィードファイル

    このタイプの脅威インジケーターの場合、supplier_name 属性の値は、kl_feed_util.conf に指定したフィードファイルの名前です。

  • REST API リクエスト

    このタイプの脅威インジケーターの場合、supplier_name 属性の値は、REST API を介して追加した脅威インジケーターの名前です。

  • Web ユーザーインターフェイス(InternalTI または FalsePositive 脅威インジケーター)

    このタイプの脅威インジケーターの場合、supplier_name 属性の値は、インジケーター(InternalTI または FalsePositive)を追加するリストによって異なります。

    Kaspersky CyberTrace Web の[Indicators]タブを介して新しいインジケーターを追加する場合、この値は InternalTI です。

Feeds]タブの[False positives]ウィンドウを介して誤検知リストにインジケーターを追加する場合、またはインジケーターを誤検知としてマークする場合、この値は FalsePositive です。

supplier_confidence

脅威インジケーターの信頼性のレベル。

supplier_vendor_name

脅威インジケーターのベンダーの名前。

ioc_supplier_context

インジケーターに関連する背景情報。

この属性には、ネストされた属性を含めることができます。ネストされた属性をすべて検索するためのルールについて、次に説明します。

検索リクエストには次の構文を使用します:

  • 部分文字列の検索に特殊文字([スペース]、+、-、=、&&、||、>、<、!、(、)、{、}、[、]、^、"、~、*、?、:、\、/)が使用されている場合(下記参照)、エスケープ文字を使用して、リクエストボディにこれらの文字を指定します。検索リクエストで特殊文字を使用する場合の例外を次に示します。

    Kaspersky CyberTrace では、エスケープ文字として \ を使用します。

  • スペース文字を使用します。検索の部分文字列に、エスケープ文字を指定せずにスペースを含めると、スペース以降の単語は検索の部分文字列とは判断されません。

    例 #1:supplier_vendor_name: Vendor\ Test – 「Vendor Test」という名前のベンダーを持つソースに属する、すべてのインジケーターが返されます。

    例 #2:supplier_vendor_name: Vendor Test – 「Vendor」という名前のベンダーを持つソースに属するすべてのインジケーター、または背景情報に「test」という単語があるインジケーターが返されます。

  • 特定の部分文字列を囲む場合は引用符を使用し、論理ブロックを囲む場合は丸括弧を使用します。開始値または終了値の指定で、境界値を含めない場合は中括弧({})、境界値を含める場合は大括弧([])を使用します。開始値と終了値で、境界値を含める / 含めないのタイプが異なる場合は、中括弧と大括弧を組み合わせることができます。検索リクエストでは、引用符およびこれらの括弧をすべてペアにする必要があります。

    部分文字列に前述の特殊文字が含まれていない場合、検索の部分文字列を引用符で囲むことはできません。この場合、検索結果には、インジケーターとフィールドのいずれかの値と完全に一致する指定した部分文字列のみが含まれます。したがって、検索の部分文字列が、(完全一致ではなく)部分一致するインジケーターを見つける場合は、ワイルドカード(アスタリスク(*)または疑問符(?)、以下参照)を使用します。

    次の例では、引用符、およびペアでないあらゆるタイプの括弧を使用できます:

    • ペアでない中括弧または引用符をエスケープ文字と一緒に使用する場合。

      例:ioc_value:asd\]

    • ペアでない中括弧を引用符で囲む場合。

      例:ioc_value:"1234]"

  • タブ文字は使用しないでください。
  • コロン(:)は、インジケーターの属性名の後ろにのみ使用するか、エスケープ文字と一緒に使用します。
  • 空の値を丸括弧で囲んで指定しないでください。ただし、空の値をエスケープ文字と一緒に指定する場合、または引用符で囲む場合は除きます。

    間違ったクエストの例:( )

    正しいリクエストの例:(" ")

  • 中括弧({})および大括弧([])内では、%begin_value% TO %end_value% のパターンを使用してください。この場合の %begin_value%%end_value% は、それぞれ範囲の開始と終了を表す値です(大括弧を引用符で囲む場合は除きます)。

    間違ったリクエストの例:[* 100]

    正しいリクエストの例:[* TO 100]

  • 特定の属性を検索する場合は空の値を指定しないでください。

    間違ったリクエストの例:ioc_type:

    正しいリクエストの例:ioc_type:url

  • 論理演算子(ANDORNOT)は、引用符なしですべて大文字で使用します。
  • 論理演算子 AND および OR の前後にはスペースを挿入します。論理演算子 NOT を左括弧またはコロンの直後に指定する場合、NOT の左にはスペースを挿入しません。

    間違ったリクエストの例:supplier_confidence:(89OR91)

    正しいリクエストの例:supplier_confidence:NOT(89 OR 91)

  • 論理演算子の後ろに空の値を指定しないでください。

    間違ったリクエストの例:supplier_confidence:(89 OR)

    正しいリクエストの例:supplier_confidence:(89 OR 91)

  • ioc_supplier_context 属性で、特定のネストされた属性を検索する場合はピリオドを使用します。

    例:ioc_supplier_context.files.threat:"HEUR:Exploit.SWF.Generic"

  • ioc_supplier_context 属性で検索文字列にスペース文字が含まれる場合は、スペース文字の前に「\」(バックスラッシュ)を使用します。

    例:ioc_supplier_context.details.SMS\ Number:1003

  • ioc_supplier_context 属性で、ネストされた属性をすべて検索には、ioc_supplier_context.\\* パターンを使用します。

    例:ioc_supplier_context.\\*:HEUR

  • その他、置換用のワイルドカードとして、一連の文字列を表す場合はアスタリスク(*)、単一の文字を表す場合は疑問符(?)を使用します。

    例 #1:supplier_vendor_name: Vendor –「Vendor」という名前のベンダーを持つソースに属するインジケーターの検索。

    例 #2:supplier_vendor_name: Vendor* – 名前が「Vendor」で始まるベンダーを持つソースに属するインジケーターの検索。

    リクエストの先頭にアスタリスク(*)を使用すると、インジケーターのデータベース内のすべての属性値がチェックされる可能性があります。これは通常、データベースからのレスポンスに時間がかかる原因となります。

次のリクエストは、いずれかのインジケーター属性に部分文字列 at, ca, kr, ru, ir が含まれるインジケーターをすべて表示します:

"at, ca, kr, ru, ir"

次のリクエストは、89 または 91 と等しい supplier_confidence 属性値を持つインジケーターをすべて表示します:

supplier_confidence:(89 OR 91)

次のリクエストは、部分文字列 123321 を含む ioc_value 属性値を持つインジケーターをすべて表示します:

ioc_value:"123321"

次のリクエストは、2012-01-01 ~ 2012-12-31 の間(開始と終了の境界を含む)に、データベースに追加されたインジケーターをすべて表示します:

ioc_created_date:[2012-01-01 TO 2012-12-31]

次のリクエストは、信頼性のレベルが 10 ~ 50 の範囲(境界を含む)であるインジケーターをすべて表示します:

supplier_confidence:{10 TO 50}

次のリクエストは、threat_score コンテキストフィールドの値が 75 より大きいインジケーターをすべて表示します:

ioc_supplier_context.threat_score:[75 TO *]

次のリクエストは、ファイル / 脅威コンテキスト属性に部分文字列 HEUR:Exploit.SWF.Generic が含まれるインジケーターをすべて表示します:

ioc_supplier_context.files.threat:"HEUR:Exploit.SWF.Generic"

次のリクエストは、いずれかのネストレベルに HEUR 値が含まれているコンテキスト属性を持つインジケーターをすべて表示します:

ioc_supplier_context.\\*:HEUR

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。