STIX sorguları oluşturuluyor

Çevrimiçi düzenle

STIX 2 endüstri standardı olarak tanınmasına rağmen, tüm güvenlik uzmanları tarafından henüz bilinmemektedir. Sorgu oluşturucu, IBM Prerequisite Scanner, URL adresleri, MD5 hash 'leri ve daha fazlası için bir arama sorgusu yaratmanıza yardımcı olur.

Bu görev hakkında

STIX 2 hakkında daha fazla bilgi için bkz. STIX 2 'ye Giriş.

Sorgu oluşturucunun desteklediği STIX 2 dili hakkında daha fazla bilgi için bkz. STIX 2 Patterning belirtimleri.

İpucu:
  • "Küme diğer istekleri işliyor ve sorgularınıza yanıt vermiyor" iletisini alırsanız, birkaç dakika bekleyip yeniden deneyin.
  • Visual Builder kullandığınızda, değeri yazdıktan sonra Enter tuşuna basmanız gerekir. Birden çok değer eklemek için Enter ve Üst Karakter tuşlarına da basabilirsiniz.

İşlem

  1. Data Explorer adresine gidin ve Advanced Builder (Gelişmiş Oluşturucu) sekmesini seçin.
  2. STIX sekmesini tıklatın.
  3. Sorgu metni alanında, sorgunuzu şu biçimde girin: OBSERVABLE_TYPE PROPERTY OPERATOR VALUE
    Sorgu oluşturucu, aşağıdaki parametreleri sağlayan bir bağlam yardımcısı görüntüler.
    Parametre Açıklama
    Observable type STIX 2 'deki Gözlenebilir özellikler, bilgisayar ve ağların işletilmesine ilişkin ölçülebilir olaylar veya durumsal özelliklerdir. Farklı tiplerle ilgili ek bilgi için Siber Gözlenebilir Nesnelerbaşlıklı konuya bakın.
    Özellik Her gözlenebilir tip gerekli özelliklere sahiptir. Her bir tipe ilişkin farklı özellikler hakkında daha fazla bilgi için bkz. Siber Gözlenebilir Nesneler.
    Operatör Bir sorgu parametresindeki işleç varsayılan olarak equal olarak ayarlanır. Sorgu değiştirgesine uygun işleci seçin. Sözdizimi hatalarını önlemek için tüm sorgu parametreleri arasına bir işleç eklediğinizden emin olun.
    Değer Gözlemlenebilir değer, belirtilen gözlenebilir tipe ve özelliğe bağlıdır.
  4. Arama değiştirgelerini köşeli ayraç kullanarak gruplayın.
  5. Sorgunun yürütüleceğini bir ya da daha çok zaman çerçevesi belirleyin.
    İpucu: STIX dilinde, zaman aralığı Eşgüdümlü Evrensel Saat (UTC) olarak gösterilir.
    1. Özel START ve STOP tarih ve saat ekleyin.
    2. STARTile birlikte sağlanan hızlı aralıklar arasından seçim yapmak için tıklatın.
    3. Geçerli tarih ve saati STOPile kullanmak için tıklatın.
  6. Sorgulacak bir ya da daha çok veri kaynağı seçin. Varsayılan olarak tüm veri kaynakları seçilir. Seçimi güncellemek için veri kaynakları menüsünü tıklatın.
  7. Seçilen veri kaynaklarınızda hedef verilerinizi almak için Sorguyu çalıştır ' ı tıklatın. Sorgu sonuçları, bağlı veri kaynaklarınıza bağlı olarak değişir.

Sonuçlar

Sorgunuzda bir sözdizimi hatası varsa, hatayı çözene kadar Sorguyu çalıştır devre dışı bırakılır. Her sözdizimi hatası kırmızı bir alt çizgi, sözdizimi hatası ayrıntıları içeren bir araç ipucu ve sözdizimi düzeltme önerileri içeren bağlamsal yardımcı ile vurgulanır.

Bir sorgu çalıştırıldığında, bir 'etkin-sorgu' kartı eklenir. Her sorgu, oluşturulduktan 14 gün sonra sona erer.

Örnek

IPv4ara

Bir zaman çerçevesi belirtilmezse, veri kaynağı ayarına göre varsayılan bir zaman çerçevesi uygulanır.

[ipv4-addr:value = '127.0.0.1']

URL ' yi zaman çerçevesi ile ara

START ve STOP saatlerinin sorgu dizgisi ayraçlarının ([]) dışında olduğunu unutmayın.

[url:value = 'www.ibm.com'] START t'2019-03-23T13:53:12.229Z' STOP
              t'2019-03-26T13:53:27.170Z'

443 numaralı kapı dışındaki hedef kapıları ara

Sonuçlarınızı daraltmak için (!=) değerleri dışlayın.

[network-traffic:dst_port != 443]

Komut satırında Mimikatz öğesini içeren Powershell işlemini ara

LIKE ve INgibi işleçleri kullanın. "Wild" dizgileri göstermek için % kullanın.

[process:name = 'powershell.exe' AND process:command_line LIKE
            '%Mimikatz%']

svchost.exe ve MD5 hash değerini içeren TSTheme.exe ve üst işlemle eşleşen süreci arayın

Dizgileri parantez içinde ()ile gruplandır.

([process:name MATCHES 'TSTheme.exe' AND process:parent_ref.name LIKE '%svchost.exe']
              AND [file:hashes.'MD5' = 'C9A51BDEC4B4E0B6EF51B64637677D14'])

Daha fazla bilgi için bkz. STIX Patterning, Examples.