IOC を管理する

適用対象: WatchGuard Advanced EPDR

IOC ギャラリーで、検索タスクに使用可能な IOC のリストを管理します。IOC を追加、コピー、編集、承認、削除することができます。

IOC ギャラリーに IOC をインポートしたり、IOC ギャラリーから IOC をエクスポートすることもできます。詳細については、IOC をインポートおよびエクスポートする を参照してください。

IOC を作成する

IOC を作成すると、自動的に WatchGuard Advanced EPDR で使用できるようになります。IOC は最初から作成することも、既存の IOC をコピーして編集することもできます。

侵害インジケーターを作成するには、以下の手順を実行します:

  1. WatchGuard Cloud で、構成 > Endpoint の順に選択します。
  2. 設定 を選択します。
  3. IOC ギャラリー を選択します。
  4. 追加 をクリックします。
  5. 名前作成者 および 説明 を入力します。
  6. プロパティを選択してください ドロップダウン リストから、検出する攻撃機能を選択します。
    • ファイル MD5: MD5 ハッシュが指定されているファイルを検索します。
    • ファイル SHA-256: 指定した SHA-256 ハッシュを持つファイルを検索します
    • ファイル名: 指定した名前を持つファイルを検索します。
    • ファイルパス: 指定したパスを持つファイルを検索します。
    • ドメイン: 指定したドメインとの間の TCP または UDP 経由のネットワーク接続を検索します。
    • IPv4: 指定した IPv4 アドレスとの間の TCP または UDP 接続を検索します。
    • IPv6: 指定した IPv6 アドレスとの間の TCP または UDP 接続を検索します。
    • YARA ルール: YARA ルールに記述されているパターンに一致するコンテンツがあるファイルを検索します。

      7. IOC に複数の YARA ルールを含めることはできません。空の IOC に YARA ルールを追加すると、他のプロパティは使用できません。同様に、IOC に他のプロパティを追加すると、YARA ルールは無効になります。ルールが YARA 構文に従っていない場合は、エラー メッセージが表示され、IOC を保存することはできません。

  7. 演算子を選択してください ドロップダウン リストで、コンピュータ上で見つかったプロパティと IOC で設定された基準値を比較する方法を指定します。
    • 以下に含まれる: コンピュータ上で見つかったプロパティは、値 テキスト ボックスで指定された少なくとも 1 つのプロパティ値と一致する必要があります。
    • 等しい: コンピュータ上で見つかったすべてのプロパティは、値 テキスト ボックスで指定されたプロパティ値と完全に一致する必要があります。
  8. テキスト ボックスに、選択したプロパティの値を入力します。

    複数の値を入力するには、値を入力してから エンター を押します。ワイルドカードはサポートされていません。
  9. その他の条件を追加するには、新しい条件 をクリックします。ステップ 6 ~ 8 を繰り返します。
  10. 2 つ以上の条件を単一のルールと組み合わせるには、組み合わせる各条件の横にあるチェック ボックスをオンにして、論理演算子 (AND または OR) を選択します。条件をグループ化 をクリックします。
    灰色の線は、グループの一部であるルールをつなぎます。これは、論理式で括弧が条件をグループ化するのと同様です。括弧により、論理式で異なるレベルの演算数をグループ化することができます。

IOC をコピーするには、以下の手順を実行します:

  1. WatchGuard Cloud で、構成 > Endpoint の順に選択します。
  2. 設定 を選択します。
  3. IOC ギャラリー を選択します。
  4. コピーする IOC の行で オプション アイコン。 をクリックし、コピーを作成 を選択します。

    IOC を編集 ダイアログ ボックスが開きます。
  5. 名前 テキスト ボックスに、IOC の新しい名前を入力します。
  6. 説明 テキスト ボックスに、IOC の新しい説明を入力します。
  7. IOC 設定を編集します。詳細については、IOC の作成手順のステップ 6 ~ 8 を参照してください。
  8. OK をクリックします。

IOC を編集して承認する

IOC をインポートする際には、検索タスクが IOC を使用できるようになる前に、検索ステートメントを確認し、承認する必要があります。承認が必要な IOC は STIX (承認待ち) として表示されます。

IOC をインポートする方法については、IOC をインポートおよびエクスポートする を参照してください。

IOC を編集して承認するには、以下の手順を実行します:

  1. WatchGuard Cloud で、構成 > Endpoint の順に選択します。
  2. 設定 を選択します。
  3. IOC ギャラリー を選択します。
  4. 編集または承認する IOC を選択します。
    IOC を編集 ダイアログ ボックスが開きます。
  5. 必要に応じて 名前説明 を編集します。
  6. 必要に応じて、コンピュータの検出に使用される特性を編集します。
  7. 検索ステートメントを承認 をクリックします。
  8. 保存 をクリックします。

IOC を削除する

進行中のタスクの一部である IOC は削除できません。IOC を削除すると、その IOC の履歴データは検出された IOC リストと IOC ダッシュボードに残ります。

単一の IOC を削除するには、以下の手順を実行します。

  1. WatchGuard Cloud で、構成 > Endpoint の順に選択します。
  2. 設定 を選択します。
  3. IOC ギャラリー を選択します。
  4. 削除する IOC の行で オプション アイコン。 をクリックし、削除 を選択します。
    IOC がリストから削除されます。

複数の IOC を削除するには、以下の手順を実行します。

  1. WatchGuard Cloud で、構成 > Endpoint の順に選択します。
  2. 設定 を選択します。
  3. IOC ギャラリー を選択します。
  4. 削除する各 IOC のチェックボックスをオンにします。
  5. ツール バーで削除アイコン。 削除 をクリックします。

関連トピック

WatchGuard Advanced EPDR の侵害のインジケータ― (IOC)

IOC ギャラリーについて

IOC をインポートおよびエクスポートする

IOC 検索タスクを作成する