[Cortex XDR/XSIAM]ドメイン名を使って脅威を検出する - IOCルール

IOCを使用して既知のマルウェアなどの脅威を検出することができます。

IOCとして設定できる種類は、ファイルパス、ファイル名、ドメイン、宛先IPアドレス、ファイルハッシュ(MD5,SHA256)が

ありますが、ここではドメインを設定する例を紹介します。

ドメイン名をIOCとして設定する

+Add IOCで必要な情報を設定し、Createをクリックします。

ここでは、以下のような設定を行います。

Indicator: xxxx.co.jp

Type: Domain

Severity: low

Reputation: good

Reliability: Completely reliable

Expiration: default *有効期限、あるいは期限なしといった設定も可能です。

IOC Rulesにドメインが設定されます。

実際に指定したドメインにアクセスすると、以下のようにALRET SOURCEが「XDR IOC」として検出されます。

また、上記のデータの詳細からCausality ChainやXQLの結果なども確認できます。

Causality Chainの結果。 chrome.exeから該当ドメインにアクセスしていることがわかる

XQLの結果

以下のようにサポートするサードーパーティリソースにおいてもIOCルールによる検知が可能です。

Tech Doc

IOCルールの詳細についてはこちら