[Cortex XDR/XSIAM]ドメイン名を使って脅威を検出する - IOCルール

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
L4 Transporter
評価なし

IOCを使用して既知のマルウェアなどの脅威を検出することができます。

IOCとして設定できる種類は、ファイルパス、ファイル名、ドメイン、宛先IPアドレス、ファイルハッシュ(MD5,SHA256)が

ありますが、ここではドメインを設定する例を紹介します。

 

ドメイン名をIOCとして設定する

+Add IOCで必要な情報を設定し、Createをクリックします。

 

ここでは、以下のような設定を行います。

Indicator: xxxx.co.jp

Type: Domain

Severity: low

Reputation: good

Reliability: Completely reliable

Expiration: default *有効期限、あるいは期限なしといった設定も可能です。

 

IOC-sample.png

 

 

IOC Rulesにドメインが設定されます。

IOC-rules-configured.png

 

 

 

実際に指定したドメインにアクセスすると、以下のようにALRET SOURCEが「XDR IOC」として検出されます。

IOC-alerts.png

 

また、上記のデータの詳細からCausality ChainやXQLの結果なども確認できます。

 

Causality Chainの結果。 chrome.exeから該当ドメインにアクセスしていることがわかる

IOC-causality-chain.png

 

XQLの結果

massaito_4-1669200016149.png

 

 

以下のようにサポートするサードーパーティリソースにおいてもIOCルールによる検知が可能です。

IOC-3rdparty-FW.png

 

 

Tech Doc

IOCルールの詳細についてはこちら

この記事を評価:
  • 1645 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎11-02-2023 09:30 PM
更新者: