マルウェア分析の定義

  • リリースバージョン: Zurich
  • 更新日 2025年07月31日
  • 所要時間:6分

    • マルウェアのインスタンスまたはファミリで実行された特定の静的または動的分析のメタデータと結果をキャプチャするマルウェア分析を定義します。

    始める前に

    必要なロール:sn_sec_tisc.analyst

    手順

    1. 移動先 ワークスペース > 脅威インテリジェンスセキュリティセンター.
    2. ワークスペースの [脅威インテリジェンスライブラリ (Threat Intel Library)] アイコンをクリックします。
    3. [マルウェア分析] オブジェクトに移動します。
    4. [新規] をクリックします。
      注:
      観測事象、インジケーター、エンティティ、オブジェクトのオブジェクトレコードを新たに作成するたびに、ソースレコードが作成され、新しいオブジェクトレコードが作成されたことを示すプロンプトメッセージが表示されます。その後、ユーザーは集計レコードにリダイレクトされます。
    5. フォームのフィールドに入力します。
      表 : 1. [マルウェア分析の詳細] ビュー
      フィールド 説明
      ID マルウェア分析を識別する一意の ID。
      製品 使用された分析エンジンまたは製品の名前。製品名は必ずすべて小文字で、単語はダッシュ「-」で区切ってください。

      製品の名前を指定できない場合は、匿名値を使用する必要があります。
      バージョン 分析の実行に使用された分析製品のバージョン。
      ホスト VM ゲストオペレーティングシステム (該当する場合、マルウェアインスタンスまたはファミリの動的分析に使用された OS) をホストするために使用された仮想マシン環境の説明。

      この値が operating_system_ref プロパティと併せて含まれていない場合、動的解析がベアメタル (仮想化なしなど) で実行されたか、情報が編集された可能性があります。

      このプロパティの値は、SCO ソフトウェア オブジェクトの識別子でなければなりません。
      オペレーティングシステム マルウェアインスタンスまたはファミリの動的分析で使用されたオペレーティングシステム。これは、仮想化されたオペレーティングシステムとベアメタルで実行されているオペレーティングシステムに適用されます。

      このプロパティの値は、SCO ソフトウェア オブジェクトの識別子でなければなりません。
      構成バージョン このマルウェアまたはマルウェアファミリを識別するための代替名。
      モジュール この分析の実行時に製品で使用および構成された特定の分析モジュール。
      分析エンジンバージョン 分析の実行に使用された分析エンジンまたは製品 (AV エンジンを含む) のバージョン。
      分析定義バージョン AV ツールなどの分析ツールで使用された分析定義のバージョン。
      分析が開始されました マルウェア分析が開始された日時。
      分析が終了しました マルウェア分析が終了した日時。
      結果 スキャナーまたはツール分析プロセスで確認された分類結果。
      結果名 スキャナーツールによってマルウェアインスタンスに割り当てられた分類結果または名前。
      送信済み スキャンや分析の目的でマルウェアが初めて送信された日時。この値は、スキャンの日付が変わる可能性がある間は一定に保たれます。たとえば、マルウェアがウイルス分析ツールに送信された場合などが挙げられます。
      分析された観測事象 分析された観測事象を選択します。
      TLP TLP は、機密情報が適切な対象者と共有されるようにするために使用されるものです。4 つの色 (白、緑、オレンジ、赤) を使用して、さまざまな感度を示します。
      信頼性 このマルウェア分析の信頼度を入力します。
      ソース このオブジェクトレコードの作成元である脅威のソースを指定します。
      取り消し 取り消されたオブジェクトが、オブジェクト作成者によって有効と見なされなくなったことを示します。
      表 : 2. インサイト
      フィールド 説明
      メモ マルウェアファミリレコードのメモを追加します。
      表 : 3. 追加情報
      フィールド 説明
      追加コンテキスト このマルウェアレコードのコンテキストを追加します。
      仕様バージョン このオブジェクトを表すために使用される STIX 仕様のバージョン。

      この仕様に従って定義された STIX オブジェクトの場合、このプロパティの値は 2.1 である必要があります。
      言語 このプロパティは、このオブジェクトのテキストコンテンツの言語を識別します。
      ソースでの作成時間 ソースでオブジェクトが作成された時刻を指定します。
      拡張 攻撃パターンの拡張を示します。
      ソースでの変更時間 ソースでオブジェクトが変更された時刻を指定します。
      処理ステータス このオブジェクト (マルウェア) の処理ステータスを表します。
      作成日時 ソースでオブジェクトが作成された日時を指定します。
      更新日時 ソースでオブジェクトが更新された日時を指定します。
      作成者参照 このプロパティは、エンティティを記述する ID オブジェクトがこのオブジェクトを作成したことを示します。
    6. [保存] をクリックします。
      保存すると、「新しい観測事象レコードが作成されました。レコードを編集して新たな関連を作成するには [続行] をクリックしてください」というプロンプトメッセージが表示されます。
    7. [続行] をクリックします。
      重要:
      新しい観測事象レコードを作成すると、[システムの更新を防止] チェックボックスが表示されます。

      観測事象、インジケーター、STIX オブジェクトのレコードが作成された後、システムにより更新されないようにするには、このチェックボックスをオンにします。

      表 : 4. タグと分類
      フィールド 説明
      Tags
      タグを選択 マルウェアに関連付けられているタグを選択します。
      タグを追加 新しいタグを追加します。
      分類
      分類を選択 マルウェアに関連付けられている分類を選択します。
      分類値を追加 マルウェアに関連付けられている分類値を追加します。

    次のタスク

    次の関連リストのいずれかをクリックすると、マルウェアに関連するオブジェクトの追加情報が表示されます。
    表 : 5. 関連のレコード
    フィールド 説明
    外部参照 STIX 以外の情報を参照する外部参照を一覧表示します。このプロパティは、1 つ以上の外部オブジェクト識別子を指定するために使用されます。
    マルウェア このオブジェクトに関連付けられたマルウェアレコードを一覧表示します。
    マーケティング定義 このオブジェクトに関連付けられたマーケティング定義を一覧表示します。
    観測事象 このオブジェクトに関連付けられた観測事象を一覧表示します。
    サイティング このオブジェクトに関連付けられたサイティングを一覧表示します。
    注:
    1. このオブジェクトに関連付けられた関連レコードをリンクおよびリンク解除できます。詳細については、「脅威インテリジェンス関連レコードへのリンク」を参照してください。
    2. TI ライブラリ内のさまざまな SDO には、潜在的な関係も含まれています。任意の 2 つのオブジェクト間の関係を確立するには、脅威インテリジェンスライブラリ[潜在リレーションシップ] リンクを使用してオブジェクト間の関係を確定します。詳細については、「オブジェクトとオブジェクトの潜在リレーションシップを確認する」を参照してください。
    3. また、オブジェクトフォームビューの [関連レコード] セクションを使用し、フォームビューで使用可能な [潜在リレーションシップ] セクションを使用して、2 つのオブジェクト間の関係を確認します。詳細については、「関連レコードから潜在リレーションシップを確認する」を参照してください。
    4. ケースにオブジェクトを追加できます。詳細については、「ケースに追加する」を参照してください。