...
| Session ID | 検証結果 |
|---|---|
| 18922621726 | 58483(1) |
| 18922621734 | 1_54794_2(1),58706(1) |
NII-SOCSの検知システムで検知した警報(PaloaltoのThreat ID/Cisco FirepowerのGID_SID_REV)と括弧書きでセッションごとの検知回数を表記。
Snort
AUDITDATA-SNORT-X_yyyyMMdd.txt
| Session ID \ 検証 | 1日後 | 2週目(8日後) | 3週目(15日後) | 4週目(22日後) | 5週目(29日後) | 6週目(36日後) | 7週目(43日後) | 8週目(50日後) |
|---|---|---|---|---|---|---|---|---|
| 18922621720 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 | 1-31136-2,1-23493-6 |
| 18922621726 | 1-42016-2 | 1-42016-2 | 1-42016-2 | 1-42016-2 | 1-42016-2 | 1-42016-2 | 1-42016-2 | 1-42016-2 |
| 18922621734 | 129-12-1(2) | 129-12-1(2) | 129-12-1(2) | 129-12-1(2) | 129-12-1(2) | 129-12-1(2) | 129-12-1(2) | 129-12-1(2) |
SnortのGID-SID-REV、および、1セッションで2回以上の検知があった場合はその回数を括弧書きで表記。
ZERODAY-SNORT-X_yyyyMMdd.txt
| 合致したルール名?合致したルール名 | 検出セッション件数?フラグ情報 |
|---|---|
3GID-56199-2SID-REV | ベンチマーク全体で初めて検知した検知ルール:0 翌日の検査では未検知かつ2または5週目に検知した検知ルール:1 5週目の検査までは未検知かつ6週目以降の検査で検知ルール: 2 |
データ例
| 1-42016-1 | 0 |
|---|---|
| 1-53026-1 | 1 |
| 1-79018-1 | 2 |
ZERODAY_COUNT-SNORT-X_yyyyMMdd.txt
項目の説明
| snort_new | 初回のチェック時? に検出された件数?ベンチマーク全体で初めて検知した件数 |
|---|---|
| snort_2_5 | 2週目から5週目までのチェック時に検出された件数?翌日の検査では未検知かつ2〜5週目の検査で検知した件数 |
| snort_6_8 | 6週目から8週目までのチェック時に検出された件数?5週目の検査までは未検知かつ6週目以降の検査で検知した件数 NII-SOCSではsnortの無償版を利用している。 Snortの無償版は、有償版よりルールセットの提供が30日遅れる(→Snort →Snort FAQ →What are the differences in the rule sets?)ため、 6週目で検知できず、7週目以降に検知できた場合は、有償版でも当初は検知できなかったセロデイ攻撃とみなすことができる。 |
データ例
| snort_new | 0 |
|---|---|
| snort_2_5 | 0 |
| snort_6_8 | 0 |
...
| Session ID \ 検証 | 1日後 | 2週目(8日後) | 3週目(15日後) | 4週目(22日後) | 5週目(29日後) | 6週目(36日後) | 7週目(43日後) | 8週目(50日後) |
|---|---|---|---|---|---|---|---|---|
| 18922621721 | Email.Exploit.Efail-6543463-0(2) | Email.Exploit.Efail-6543463-0(2) | Email.Exploit.Efail-6543463-0(2) | Email.Exploit.Efail-6543463-0(2) | Email.Exploit.Efail-6543463-0(2) | Email.Exploit.Efail-6543463-0(2) | Email.Exploit.Efail-6543463-0(2) | Email.Exploit.Efail-6543463-0(2) |
| 18922621727 | Email.Exploit.Efail-6543463-0 | Email.Exploit.Efail-6543463-0 | Email.Exploit.Efail-6543463-0 | Email.Exploit.Efail-6543463-0 | Email.Exploit.Efail-6543463-0 | Email.Exploit.Efail-6543463-0 | Email.Exploit.Efail-6543463-0 | Email.Exploit.Efail-6543463-0 |
| 18922621732 | - | - | Win.Trojan.Hide-1 | Win.Trojan.Hide-1 | Win.Trojan.Hide-1 | Win.Trojan.Hide-1 | Win.Trojan.Hide-1 | Win.Trojan.Hide-1 |
ClamAVで検知したマルウェアの名称、および、1セッションで2回以上の検知があった場合はその回数を括弧書きで表記。
ZERODAY-CLAMAV-X_yyyyMMdd.txt
...
| 合致したマルウェア名 | フラグ情報 |
|---|---|
| マルウェア名称 | ベンチマーク全体で初めて検知したマルウェア:マルウェア名称 0 翌日の検査では未検知かつ2週目以降に検知したマルウェア:マルウェア名称 1 |
データ例
...
| Doc.Dropper.EmotetUpdate1020-9778523-0 |
| 0 |
ZERODAY_COUNT-CLAMAV-X_yyyyMMdd.txt
項目の説明
| ClamAV_new | 初回のチェック時? に検出された件数?ベンチマーク全体で初めて検知した件数 |
|---|---|
| ClamAV_2_8 | 2週目から8週目までのチェック時に検出された件数?翌日の検査では未検知かつ2週目以降の検査で検知した件数 初回で検知できず2週目以降に検知できた場合は、当初は検知できなかったセロデイ攻撃とみなすことができる。 |
データ例
| ClamAV_new | 0 |
|---|---|
| ClamAV_2_8 | 1 |
Shellcode
AUDITDATA-SHELLCODE-X_yyyyMMdd.txt
| Session ID? | ShellcodeのID(確認順に採番) |
|---|---|
| 18922621718 | 11 |
| 18922621729 | 12 |
...