適用対象: WatchGuard Advanced EPDR
侵害インジケーター (IOC) は、満たされた場合に組織のセキュリティを侵害する可能性がある ITシステムの条件を記述するための業界標準です。この概念は署名ファイルの概念に似ていますが、IOC は、コラボレーションとセキュリティ インテリジェンスの交換を可能にするオープン形式を使用します。
不審な動作パターンを記述する IOC 形式はいくつかあります。WatchGuard Advanced EPDR は、STIX 2.x 標準と互換性があります。
STIX (構造化脅威情報表現)
STIX は、読みやすさと理解しやすさを高めるため、セキュリティの脅威を構造化され相互に関連した方法で記述する JSON ベースの言語です。これはオブジェクトとその関係を直感的に表現するグラフに基づいています。
各 IOC には攻撃を識別するアーチファクトやインジケータを詳細に記述する多数のエンティティや関係が含まれています。たとえば、これらには、Command & Control サーバーをホストする可能性のある IP アドレスやドメイン、ウイルスやその他の脅威を含んでいる可能性のある不審なファイルの MD5 または SHA ハッシュが含まれます。
STIX では、YARA ルールなど、他の形式で記述された情報を使用することもできます。
YARA (もう一つの再帰的頭字語)
YARA は、テキストまたはバイナリ パターンでマルウェア ファミリーの記述を作成するために使用されるルールベースの言語です。これらのルールには、論理を定義する一連の文字列およびブール式が含まれており、感染している可能性のあるファイルの検索に使用されます。
IOC は、その定義に YARA ルールを 1 つしか含めることができませんが、このルールの複雑性は、マルウェアのファミリー全体を検出するのに十分である場合があります。
その他の形式
現在、STIX や YARA と同様の機能を提供する、セキュリティ インテリジェンスを交換するための IOC オープン形式が他にいくつもあります。これらの他の形式には、OpenIOC と TAXII が含まれます。IOC 形式には、相互互換性のないバージョン (たとえば STIX 1.x と 2.x) が含まれる場合もあります。
WatchGuard Advanced EPDR によってサポートされていない形式で IOC を使用するには、無料のツールを使用して IOC を STIX 2.x 形式に変換することができます。