対応するインジケーターファイル

指標ファイルはCSVまたはSTIX閉じた Structured Threat Information eXpression™(構造化脅威情報エクスプレッション)。サイバー脅威情報を標準化および構造化された方法で記述するための言語。 XML(STIX 1.0)形式である必要があります。

CSV Check Point形式およびSTIX XML(STIX 1.0)形式の各レコードには、これらのフィールドが必要です(他のCSV形式のファイルでは、これらのフィールドをすべて含める必要はありません。 CLIによる脅威インジケーターファイルのインポートおよびCLIで外部カスタムインテリジェンスフィードをインポートするを参照)。

フィールド

説明

有効な値

価値基準

任意

ユニックネーム

オブザーバブル閉じた 運用中のサイバー領域で観測可能なイベントまたは状態的な特性。の名前

フリーテキスト

一意であること

いいえ

observableのタイプに有効な値

この表に記載されているとおり

パラメータ値

いいえ

タイプ

オブザーバブルの名前

  • URL

  • Domain

  • IP

  • IP Range

  • MD5

  • SHA1
  • SHA256

  • Mail-subject

  • Mail-from

  • Mail-to

  • Mail-cc

  • Mail-reply-to

大文字と小文字を区別する

いいえ

コンフィデンス

観察対象が示す信頼性の度合い

  • low

  • medium

  • high

  • critical

デフォルト - 高

はい

深刻度

Observableがもたらす脅威の度合い

  • low

  • medium

  • high

  • critical

デフォルト - 高

はい

製品

Observableを処理するCheck Point Software Blade閉じた 特定のセキュリティソリューション (モジュール):(1) セキュリティゲートウェイでは、各Software Bladeがトラフィックの特定の特性を検査します (2) 管理サーバでは、各Software Bladeで異なる管理機能を使用できます。

  • AV

  • AB

AV - Check Point AntiVirusSoftware Blade (デフォルト)

AB - Check Point Anti-BotSoftware Blade

- Anti-Virus Software BladeのみがMD5、SHA1、SHA256のObservableを処理することができます。

はい

コメント

 

フリーテキスト

 

はい

注:

  • オプションフィールドが空の場合、デフォルト値が使用される。

  • 必須フィールドが空の場合、Indicator ファイルは読み込まれません。

Observableタイプ

バリデーション基準

URL

有効な任意のURL

ドメイン

任意のURLのドメイン

IP

標準のIPv4アドレス

IP範囲

ハイフンで区切られた有効なIPv4アドレスの範囲。 <IP>-<IP>

MD5

任意の有効なMD5

SHA1

任意の有効なSHA1

SHA256

任意の有効なSHA256

メール件名

空でない任意のテキスト文字列

メール送信

メール送信

メール・シーシー

メール返信先

これらのいずれかになる可能性があります。

  • 1つのメールアドレス(例:abc@domain.com)

  • メールドメイン(例:@domain.com 、またはdomain.com )。

:

  • 本リリースでは、STIX 2.0(JSONファイル)はサポートされていません。

  • Custom Indicators CLI (load_indicators)には対応していません。

  • 対応する STIX 要素は以下の通り。

    stix:STIX_Package

    stix:STIX_Header

    stix:Title

    stix:Description

    stix:インジケータ閉じた 運用中のサイバー領域で観察可能な悪意ある活動のパターン。それをどのように解釈し、どのように対処するかについての関連情報を含みます。

    stix:Indicator

    indicator:タイトル

    インジケーター:タイプ

    indicator:説明

    indicator:Observable

    cybox:Object

    cybox:プロパティ

    FileObj:Hashes

     

    cyboxCommon:Hash

    cyboxCommon:Type

    cyboxCommon:Simple_Hash_Value

    stix:Observables

    cybox:Observable

    URIObj:値

    URIObject:値

    AddressObject:Address_Value

    AddressObj:Address_Value

    AddressObj:AddressObjectType

    AddressObjet:AddressObjectType

    cybox:Title

    コンディションタイプEnumと コンディションアプリケーションEnumは Equalsと Anyをサポートしています。

    <cyboxCommon:Simple_Hash_Value condition="Equals" apply_condition="ANY">
#! DESCRIPTION = indi file,,,,,,

"#! REFERENCE = Indicator Bulletin; Feb 20, 2014",,,,,,

# FILE FORMAT:,,,,,,

"# All lines beginning ""#"" are comments",,,,,,

"# All lines beginning ""#!"" are metadata read by the SW",,,,,,

"# UNIQ-NAME,VALUE,TYPE,CONFIDENCE,SEVERITY,PRODUCT,COMMENT",,,,,,

observ1,8d9b6b8912a2ed175b77acd40cbe9a73,MD5,medium,medium,AV,FILENAME:WUC
招待状 ゲスト.doc

observ2,76700f862a0c241b8f4b754f76957bda,MD5,high,high,AV,FILENAME:essais~.swf|
注:FWSタイプのFlashファイルです。

observ4,5dda6d1446b3cdb0bd4a3f0adb85d030ff59e975,SHA1,low,high,AV,file_name.pdf
observ5,db435a875be456f088f11c579aa52f30bc83cfff272cfad5a3f6f4de74de0654,SHA256,high,high,AV,file_name.doc

observ7,http://somemaliciousdomain.com/uploadfiles/upload/exp.swf?info=
789c333432d333b4d4b330d133b7b230b03000001b39033b&infosize=00840000
,URL,high,high,AV,IPV4ADDR:196.168.25.25

observ8,svr01.passport.ServeUser.com,Dpmain,low,high,AB,TCP:80|
IPV4ADDR:172.18.18.25|NOTE:Embedded EXE Remote C&Cとエンコードされたデータ

observ9,somemaliciousdomain2.com,Domain,,low,AV,TCP:8080|IPV4ADDR:172.22.14.10

observ10,http://www.bogusdomain.com/search?q=%24%2B%25&form=MOZSBR&pc=.
MOZI,URL,low,low,AB,IPV4ADDR:172.25.1.5

observ11,http://somebogussolution.com/register/card/log.asp?isnew=-1&LocalInfo=
Microsoft%20Windows%20XP%20Service%20Pack%202&szHostName=
ADAM-E512679EFD&tmp3=tmp3,URL,medium,,AB,

observ14,172.16.47.44,IP,high,medium,AB,TCP:8080

observ15,172.16.73.69,IP,medium,AV,TCP:443|NOTE:Related to Flash
exploitation

observ16,abc@def.com,mail-to,,high,AV, "NOTE:truncated; サンプルが追記されています。
件名に文字列 ""PH000000NNNNN"" (NNNNNNは変化する数字)"

observ34,stamdomain.com,domain,,,AB,

observ35,stamdomain.com,mail-from,high,medium,AV,

observ37,xyz.com,mail-from,medium,medium,AB,

observ38,@xyz.com,mail-from,medium,medium,AB,

observ39,a@xyz.com,mail-from,medium,medium,AB, 

<stix:STIX_Package
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:stix="http://stix.mitre.org/stix-1"
    xmlns:indicator="http://stix.mitre.org/Indicator-2"
    xmlns:stixVocabs="http://stix.mitre.org/default_vocabularies-1"
    xmlns:FileObj="http://cybox.mitre.org/objects#FileObject-2"
    xmlns:cybox="http://cybox.mitre.org/cybox-2"
    xmlns:cyboxCommon="http://cybox.mitre.org/common-2"
    xmlns:cyboxVocabs="http://cybox.mitre.org/default_vocabularies-2"
    xmlns:example="http://example.com/"
    xsi:schemaLocation="
    http://stix.mitre.org/stix-1 ../stix_core.xsd
    http://stix.mitre.org/Indicator-2 ../indicator.xsd
    http://stix.mitre.org/default_vocabularies-1 ../stix_default_vocabularies.xsd
    http://cybox.mitre.org/objects#FileObject-2 ../cybox/objects/File_Object.xsd
    http://cybox.mitre.org/default_vocabularies-2 ../cybox/cybox_default_vocabularies.xsd"
    id="example:STIXPackage-ac823873-4c51-4dd1-936e-a39d40151cc3"
    version="1.0.1">
    <stix:STIX_Header>
        <stix:Title>Example file watchlist</stix:Title>
        <stix:Package_Intent xsi:type="stixVocabs:PackageIntentVocab-1.0">Indicators - Watchlist</stix:Package_Intent>
    </stix:STIX_Header>
    <stix:Indicators>
        <stix:Indicator xsi:type="indicator:IndicatorType" id="example:Indicator-611935aa-4db5-4b63-88ac-ac651634f09b">
            <indicator:Type xsi:type="stixVocabs:IndicatorTypeVocab-1.0">File Hash Watchlist</indicator:Type>
            <indicator:Description>Indicator that contains malicious file hashes.</indicator:Description>
            <indicator:Observable id="example:Observable-c9ca84dc-4542-4292-af54-3c5c914ccbbc">
                <cybox:Object id="example:Object-c670b175-bfa3-48e9-a218-aa7c55f1f884">
                    <cybox:Properties xsi:type="FileObj:FileObjectType">
                        <FileObj:Hashes>
                            <cyboxCommon:Hash>
                                <cyboxCommon:Type xsi:type="cyboxVocabs:HashNameVocab-1.0" condition="Equals">MD5</cyboxCommon:Type>
                                <cyboxCommon:Simple_Hash_Value condition="Equals" apply_condition="ANY">0522e955aaee70b102e843f14c13a92c##comma##0522e955aaee70b102e843f14c13a92d##comma##0522e955aaee70b102e843f14c13a92e</cyboxCommon:Simple_Hash_Value>
                            </cyboxCommon:Hash>
                        </FileObj:Hashes>
                    </cybox:Properties>
                </cybox:Object>
            </indicator:Observable>
        </stix:Indicator>
    </stix:Indicators>
</stix:STIX_Package>