調査パッケージを使用することで、管理者と調査者は、仮想アナライザで分析されたサンプルから生成された脅威データを検査して解釈できるようになります。調査パッケージには、影響を受けたホストまたはネットワークで識別されたIOC
(Indicators of Compromise) を説明するOpenIOC形式のファイルが含まれています。
次の表は、調査パッケージに含まれる一部のファイルを示しています。
調査パッケージの内容
|
調査パッケージ内のパス
|
説明
|
¥%SHA1% |
ルートレベルにある各フォルダは、その名前にSHA-1ハッシュ値を持ち、1つのオブジェクトと関連付けられています。この種類のフォルダは、最初のオブジェクトがアーカイブファイルまたはメールメッセージである場合にのみ複数存在します。
|
¥%SHA1%¥%imageID% |
オブジェクトを分析したサンドボックスイメージと関連付けられています。
|
¥%SHA1%¥%imageID%¥drop¥droplist |
分析時に生成または変更されたファイルのリストが含まれます。
|
¥%SHA1%¥%imageID%¥memory¥image.bin |
メモリでプロセスが開始された後の未加工のメモリダンプが含まれます。
|
¥%SHA1%¥%imageID%¥pcap¥%SHA1%.pcap |
ペイロードの抽出に使用できる、取得されたネットワークデータが含まれます。ネットワークデータが生成されなかった場合、このファイルは存在しません。
|
¥%SHA1%¥%imageID%¥report¥report.xml |
特定のイメージの単一のオブジェクトに対する最終分析レポートが含まれます。
|
¥%SHA1%¥%imageID%¥report¥so.xml |
分析時に検出されたすべての不審オブジェクトのリストが含まれます。分析時に不審オブジェクトが検出されなかった場合、このファイルは空です。
|
¥%SHA1%¥%imageID%¥report¥SHA1.ioc |
攻撃者の戦術、手法、および手順、またはその他の侵害の証拠を識別する技術特性が含まれます。
|
¥%SHA1%¥%imageID%¥screenshot¥%SHA1%-%N%.png |
分析時に発生したUIイベントのスクリーンショットです。分析時にUIイベントが発生しなかった場合、このファイルは存在しません。
|
¥common |
すべてのサンプルに共通するファイルを含みます。
|
¥common¥drop¥%% |
分析時に生成または変更されます。
|
¥common¥sample¥%SHA1% |
送信されたサンプルです。
|
¥common¥sample¥extracted¥%SHA1% |
分析時にサンプルから抽出されます。
|
¥%SHA1%.report.xml |
すべてのオブジェクトの最終分析レポートです。
|
¥%SHA1%¥%imageID%¥extrainfo |
オブジェクトを分析したサンドボックスイメージに関連するファイルが含まれます。
|
¥%SHA1%¥%imageID%¥extrainfo¥extra_info.xml |
オブジェクトを分析したサンドボックスイメージに関する詳細情報が含まれます。
|
¥%SHA1%¥%imageID%¥strings |
オブジェクトを分析したサンドボックスイメージに関連するファイルが含まれます。
|
¥%SHA1%¥%imageID%¥strings¥%SHA1%.string |
サンドボックスイメージでの分析中にオブジェクトから取得した文字列ダンプが含まれます。
|
¥%SHA1%.ioc |
IOCファイル。
|
¥%SHA1%_ioc.stix |
STIX IOCファイル。
|
¥%SHA1%_so.stix |
STIX SOファイル。
|
¥%SHA1%_so_stix2.json |
STIX2 SOファイル。
|
¥%SHA1%_ioc_stix2.json |
STIX2 IOCファイル。
|