検索構文
2024年4月11日
ID 203344
Kaspersky CyberTrace では、次の属性名によってインジケーターデータベースを検索できます:
属性名 | 説明 |
| インジケータータイプ。 |
| インジケーター値。 |
| リクエストしたインジケーターがデータベースに追加された日時。 |
| インジケーターが最後に更新された日時。 |
| インジケーターに関するコメント。 |
| InternalTI 脅威インジケーターからのインジケーターに関するサマリ情報。 |
| 検知イベントを最初に受信した日時。 |
| 検知イベントを最後に受信した日時。 |
| インジケーターを InternalTI 脅威インジケーター / FalsePositive 脅威インジケーターに追加したユーザーの名前。 |
| マッチングプロセスでインジケーターを使用できることを示すフラグ。 このフラグが使用されるインジケーターは、脅威インジケーターの更新時または保持時間の期限切れ時に削除される必要があるが、InternalTI 脅威インジケーターに属しているか、このようなインジケーターが検知プロセスに含まれていたために削除されなかったインジケーターです。 このパラメータの値として |
| 脅威インジケーターからのインジケーターに関する情報が最後に更新された日時。 |
| SIEM ソリューションに検知イベントを送信するためのフラグ。 |
| インジケーターの脅威インジケーターの名前。 Kaspersky CyberTrace では、次のタイプの脅威インジケーターがサポートされています:
[Feeds]タブの[False positives]ウィンドウを介して誤検知リストにインジケーターを追加する場合、またはインジケーターを誤検知としてマークする場合、この値は FalsePositive です。 |
| 脅威インジケーターの信頼性のレベル。 |
| 脅威インジケーターのベンダーの名前。 |
| インジケーターに関連する背景情報。 この属性には、ネストされた属性を含めることができます。ネストされた属性をすべて検索するためのルールについて、次に説明します。 |
検索リクエストには次の構文を使用します:
- 部分文字列の検索に特殊文字([スペース]、+、-、=、&&、||、>、<、!、(、)、{、}、[、]、^、"、~、*、?、:、\、/)が使用されている場合(下記参照)、エスケープ文字を使用して、リクエストボディにこれらの文字を指定します。検索リクエストで特殊文字を使用する場合の例外を次に示します。
Kaspersky CyberTrace では、エスケープ文字として
\
を使用します。 - スペース文字を使用します。検索の部分文字列に、エスケープ文字を指定せずにスペースを含めると、スペース以降の単語は検索の部分文字列とは判断されません。
例 #1:
supplier_vendor_name: Vendor\ Test
– 「Vendor Test」という名前のベンダーを持つソースに属する、すべてのインジケーターが返されます。例 #2:
supplier_vendor_name: Vendor Test
– 「Vendor」という名前のベンダーを持つソースに属するすべてのインジケーター、または背景情報に「test」という単語があるインジケーターが返されます。 - 特定の部分文字列を囲む場合は引用符を使用し、論理ブロックを囲む場合は丸括弧を使用します。開始値または終了値の指定で、境界値を含めない場合は中括弧(
{}
)、境界値を含める場合は大括弧([]
)を使用します。開始値と終了値で、境界値を含める / 含めないのタイプが異なる場合は、中括弧と大括弧を組み合わせることができます。検索リクエストでは、引用符およびこれらの括弧をすべてペアにする必要があります。部分文字列に前述の特殊文字が含まれていない場合、検索の部分文字列を引用符で囲むことはできません。この場合、検索結果には、インジケーターとフィールドのいずれかの値と完全に一致する指定した部分文字列のみが含まれます。したがって、検索の部分文字列が、(完全一致ではなく)部分一致するインジケーターを見つける場合は、ワイルドカード(アスタリスク(*)または疑問符(?)、以下参照)を使用します。
次の例では、引用符、およびペアでないあらゆるタイプの括弧を使用できます:
- ペアでない中括弧または引用符をエスケープ文字と一緒に使用する場合。
例:
ioc_value:asd\]
- ペアでない中括弧を引用符で囲む場合。
例:
ioc_value:"1234]"
- ペアでない中括弧または引用符をエスケープ文字と一緒に使用する場合。
- タブ文字は使用しないでください。
- コロン(
:
)は、インジケーターの属性名の後ろにのみ使用するか、エスケープ文字と一緒に使用します。 - 空の値を丸括弧で囲んで指定しないでください。ただし、空の値をエスケープ文字と一緒に指定する場合、または引用符で囲む場合は除きます。
間違ったクエストの例:
( )
正しいリクエストの例:
(" ")
- 中括弧(
{}
)および大括弧([]
)内では、%begin_value% TO %end_value%
のパターンを使用してください。この場合の%begin_value%
と%end_value%
は、それぞれ範囲の開始と終了を表す値です(大括弧を引用符で囲む場合は除きます)。間違ったリクエストの例:
[* 100]
正しいリクエストの例:
[* TO 100]
- 特定の属性を検索する場合は空の値を指定しないでください。
間違ったリクエストの例:
ioc_type:
正しいリクエストの例:
ioc_type:url
- 論理演算子(
AND
、OR
、NOT
)は、引用符なしですべて大文字で使用します。 - 論理演算子
AND
およびOR
の前後にはスペースを挿入します。論理演算子NOT
を左括弧またはコロンの直後に指定する場合、NOT
の左にはスペースを挿入しません。間違ったリクエストの例:
supplier_confidence:(89OR91)
正しいリクエストの例:
supplier_confidence:NOT(89 OR 91)
- 論理演算子の後ろに空の値を指定しないでください。
間違ったリクエストの例:
supplier_confidence:(89 OR)
正しいリクエストの例:
supplier_confidence:(89 OR 91)
ioc_supplier_context
属性で、特定のネストされた属性を検索する場合はピリオドを使用します。例:
ioc_supplier_context.files.threat:"HEUR:Exploit.SWF.Generic"
ioc_supplier_context
属性で検索文字列にスペース文字が含まれる場合は、スペース文字の前に「\」(バックスラッシュ)を使用します。例:
ioc_supplier_context.details.SMS\ Number:1003
ioc_supplier_context
属性で、ネストされた属性をすべて検索には、ioc_supplier_context.\\*
パターンを使用します。例:
ioc_supplier_context.\\*:HEUR
- その他、置換用のワイルドカードとして、一連の文字列を表す場合はアスタリスク(
*
)、単一の文字を表す場合は疑問符(?
)を使用します。例 #1:
supplier_vendor_name: Vendor
–「Vendor」という名前のベンダーを持つソースに属するインジケーターの検索。例 #2:
supplier_vendor_name: Vendor*
– 名前が「Vendor」で始まるベンダーを持つソースに属するインジケーターの検索。リクエストの先頭にアスタリスク(
*
)を使用すると、インジケーターのデータベース内のすべての属性値がチェックされる可能性があります。これは通常、データベースからのレスポンスに時間がかかる原因となります。
例
次のリクエストは、いずれかのインジケーター属性に部分文字列 at, ca, kr, ru, ir
が含まれるインジケーターをすべて表示します:
"at, ca, kr, ru, ir" |
次のリクエストは、89 または 91 と等しい supplier_confidence
属性値を持つインジケーターをすべて表示します:
|
次のリクエストは、部分文字列 123321
を含む ioc_value
属性値を持つインジケーターをすべて表示します:
ioc_value:"123321" |
次のリクエストは、2012-01-01 ~ 2012-12-31 の間(開始と終了の境界を含む)に、データベースに追加されたインジケーターをすべて表示します:
ioc_created_date:[2012-01-01 TO 2012-12-31] |
次のリクエストは、信頼性のレベルが 10 ~ 50 の範囲(境界を含む)であるインジケーターをすべて表示します:
supplier_confidence:{10 TO 50} |
次のリクエストは、threat_score
コンテキストフィールドの値が 75
より大きいインジケーターをすべて表示します:
ioc_supplier_context.threat_score:[75 TO *] |
次のリクエストは、ファイル / 脅威コンテキスト属性に部分文字列 HEUR:Exploit.SWF.Generic
が含まれるインジケーターをすべて表示します:
ioc_supplier_context.files.threat:"HEUR:Exploit.SWF.Generic" |
次のリクエストは、いずれかのネストレベルに HEUR
値が含まれているコンテキスト属性を持つインジケーターをすべて表示します:
ioc_supplier_context.\\*:HEUR |