概要

観測可能タイプセクションでは、脅威インテリジェンス運用で追跡できるさまざまな種類の観測可能項目を定義および管理することができます。これらのタイプは、IPアドレス、ドメイン、ファイルハッシュ、およびその他の監視するデジタルアーティファクトなどのさまざまな指標を分類するのに役立ちます。

観測可能タイプの管理

新しいタイプの作成

「作成」ボタンをクリックして、新しい観測可能タイプを追加します:

以下の設定を構成します:

  • タイプ名
  • 説明
  • カテゴリ
  • 検証ルール
  • 表示形式

一般的な観測可能タイプ

ネットワーク指標

  • IPアドレス
    • IPv4形式
    • IPv6形式
    • CIDR表記
  • ドメイン名
    • 完全修飾ドメイン名(FQDN)
    • ワイルドカード
    • IDNサポート
  • URL
    • ウェブアドレス
    • URIパターン
    • プロトコル仕様

ファイル指標

  • ファイルハッシュ
    • MD5
    • SHA-1
    • SHA-256
    • SHA-512
  • ファイル名
    • 拡張子
    • パターン
    • 正規表現
  • ファイルパス
    • ディレクトリ構造
    • パスパターン

システム指標

  • レジストリキー
    • Windowsレジストリパス
    • 値名
    • データ型
  • プロセス名
    • 実行可能ファイル名
    • コマンドライン
    • プロセスパターン
  • サービス名
    • Windowsサービス
    • Unixデーモン
    • サービスパターン

通信指標

  • メールアドレス
    • アドレス形式
    • ドメイン検証
    • パターンマッチング
  • ユーザーアカウント
    • ユーザー名
    • アカウントID
    • プラットフォーム識別子
  • 通信プロトコル
    • ポート番号
    • プロトコル識別子
    • サービス定義

ベストプラクティス

タイプ定義

  • 明確で説明的な名前を使用する
  • 詳細な説明を提供する
  • 適切な検証ルールを設定する
  • 例値を含める

組織化

  • 関連するタイプをグループ化する
  • 一貫した命名を維持する
  • カテゴリを効果的に使用する
  • タイプの関係を考慮する

検証ルール

  • フォーマット要件を定義する
  • 値の制約を設定する
  • パターンマッチングを構成する
  • データ検証を実装する

メンテナンス

  • タイプの使用状況を確認する
  • 定義を更新する
  • 変更を文書化する
  • 有効性をモニタリングする

観測可能タイプの使用

ケースでの使用

  • 脅威指標
  • IOC追跡
  • 証拠収集
  • パターンマッチング

分析での使用

  • 指標の相関関係
  • パターン検出
  • 脅威ハンティング
  • インテリジェンス収集

レポートでの使用

  • 指標統計
  • タイプ分布
  • 傾向分析
  • インテリジェンスレポーティング

関連ドキュメント