Creación de consultas STIX

Editar en línea

Aunque STIX 2 cada vez obtiene mayor reconocimiento como estándar de la industria, aún no es extensamente conocido por todos los profesionales de seguridad. El creador de consultas le ayuda a crear una consulta de búsqueda para IBM Prerequisite Scanner, URL, hashes MD5 , etc.

Acerca de esta tarea

Para obtener más información sobre STIX 2, consulte Introducción al STIX 2.

Para obtener más información sobre el lenguaje STIX 2 que soporta el generador de consultas, consulte Especificaciones de diseño STIX 2.

Sugerencia:
  • Si recibe el mensaje "El clúster está ocupado procesando otras solicitudes y no responde a las consultas", espere unos minutos e inténtelo de nuevo.
  • Cuando utilice Visual Builder, debe pulsar Intro después de escribir el valor. También puede pulsar Intro y Mayús para añadir varios valores.

Procedimiento

  1. Vaya a Menú > Data Explorer > Buscar.
    Sugerencia: También puede pulsar Iniciar búsqueda en la página de inicio.
  2. En la lista desplegable de tipo de consulta, seleccione Federado (STIX).
  3. Opcional: Pulse Visual, pulse Iniciar una consultay, a continuación, cree la consulta siguiendo las instrucciones de la pantalla.
  4. En el campo de texto de consulta, especifique la consulta en el formato siguiente: OBSERVABLE_TYPE PROPERTY OPERATOR VALUE
    El creador de consultas muestra un ayudante de contexto que proporciona los parámetros siguientes.
    Parámetro Descripción
    Tipo observable Los observables en STIX 2 son las propiedades con estado o sucesos medibles relacionados con el funcionamiento de sistemas y redes. Para obtener más información sobre los distintos tipos, consulte Objetos ciberobservables.
    Propiedad Cada tipo observable tiene propiedades necesarias. Para obtener más información sobre las diferentes propiedades para cada tipo, consulte Objetos ciberobservables.
    Operador El operador de un parámetro de consulta se establece en equal de forma predeterminada. Elija el operador que sea adecuado para el parámetro de consulta. Añada un operador entre todos los parámetros de consulta para evitar errores de sintaxis.
    Valor El valor observable depende del tipo y la propiedad observables especificados.
  5. Agrupar parámetros de búsqueda utilizando corchetes.
  6. Establezca uno o varios periodos de tiempo para consultar.
    Sugerencia: En el lenguaje STIX, el rango de tiempo se muestra en Hora Universal Coordinada (UTC).
    1. Añada una fecha y hora START y STOP personalizadas.
    2. Pulse para seleccionar entre los rangos rápidos proporcionados con START.
    3. Pulse para utilizar la fecha y hora actuales con STOP.
  7. Seleccione uno o más orígenes de datos para consultar. Todos los orígenes de datos se seleccionan de forma predeterminada. Pulse el menú de orígenes de datos para actualizar la selección.
  8. Pulse Ejecutar consulta para recuperar los datos de destino en los orígenes de datos seleccionados. Los resultados de la consulta varían en función de los orígenes de datos conectados.

Resultados

Si hay un error de sintaxis en la consulta, Ejecutar consulta se inhabilita hasta que resuelva el error. Cada error de sintaxis se resalta con un subrayado rojo, una ayuda contextual con detalles de error de sintaxis y un asistente contextual con sugerencias de arreglo de sintaxis.

Cuando se ejecuta una consulta, se añade una tarjeta de 'consulta activa'. Cada consulta caduca a los 14 días de crearse.

Ejemplo

Buscar IPv4

Si no se especifica un intervalo de tiempo, se aplica un intervalo de tiempo predeterminado según el valor del origen de datos.

[ipv4-addr:value = '127.0.0.1']

Buscar URL con periodo de tiempo

Tenga en cuenta que las horas START y STOP están fuera de los corchetes de la serie de consulta ([]).

[url:value = 'www.ibm.com'] START t'2019-03-23T13:53:12.229Z' STOP
              t'2019-03-26T13:53:27.170Z'

Buscar puertos de destino distintos del puerto 443

Excluya los valores (!=) para limitar los resultados.

[network-traffic:dst_port != 443]

Buscar el proceso de Powershell que incluye Mimikatz en la línea de mandatos

Utilice operadores como LIKE y IN. Utilice % para representar series "comodín".

[process:name = 'powershell.exe' AND process:command_line LIKE
            '%Mimikatz%']

Buscar el proceso que coincide con TSTheme.exe y el proceso padre que incluye svchost.exe y MD5 hash

Series de grupo con paréntesis ().

([process:name MATCHES 'TSTheme.exe' AND process:parent_ref.name LIKE '%svchost.exe']
              AND [file:hashes.'MD5' = 'C9A51BDEC4B4E0B6EF51B64637677D14'])

Para obtener más información, consulte STIX Patterning, Ejemplos.