總覽

本文檔概述了尸檢的STIX功能的使用。此功能允許針對數據源運行一個或多個結構化威脅信息交換（STIX）文件，報告在數據源中找到了哪些指示符。有關STIX的更多信息，請訪問https://stix.mitre.org/。本文檔假定您基本了解尸檢。

快速開始

1. 正常創建案例并添加磁盤映像（或文件文件夾）作為數據源。要充分利用STIX模塊，請確保選擇以下攝取模塊：
   • 近期活動
   • 哈希查找（即使未選擇數據庫也可以計算MD5哈希的復選框）
   • 文件類型識別
   • 關鍵字搜索（URL，IP和電子郵件地址）
   • 電子郵件解析器
   • 擴展名不匹配檢測器
2. 添加圖像并完成提取后，單擊“報告”按鈕，然后選擇STIX。接下來，選擇單個STIX文件或STIX文件目錄來針對映像運行。可以在攝取運行時執行此操作，但結果將不完整。
3. STIX報告模塊完成后，將有兩組結果：
   • 將在“驗尸”樹中“有趣的項目”下的每個指標的小標題下創建條目。
   • 報告模塊會生成找到指標/可觀察指標的日志（單擊“報告生成進度”窗口上的鏈接）

支持的CybOX對象

• 地址對象
  • 地址值
• 域名對象
  • 值
• 電子郵件對象
  • 至
  • 抄送
  • 從
  • 學科
• 文件對象
  • 字節大小
  • 文檔名稱
  • 文件路徑
  • 文件擴展名
  • 修改時間
  • 訪問時間
  • Created_Time
  • 散列（僅MD5）
  • 文件格式
  • is_masqueraded
• URI對象
  • 值
• URL歷史記錄對象
  • Browser_Information（名稱）
  • 網址
  • 主機名
  • Referrer_URL
  • 頁面標題
  • User_Profile_Name
• 用戶帳戶對象
  • 主頁_目錄
  • 用戶名
• 贏得可執行文件對象
  • 時間戳記
• Windows網絡共享對象
  • Local_Path
  • 網名
• Win注冊表項對象
  • 密鑰（必填）
  • 蜂巢
  • 價值觀
• 系統對象
  • 主機名
  • Processor_Architecture
• 贏系統對象
  • 產品編號
  • 產品名稱
  • 注冊所有者
  • 注冊機構
  • Windows_System_Directory
  • Windows_Temp_Directory
• 贏得用戶帳戶對象
  • SID

有關CybOX對象的更多信息，請參見http://cybox.mitre.org。

局限性

• 如上列表所示，當前尚不支持所有CybOX對象/字段。當在可觀察對象中找到不受支持的對象/字段時，其狀態將設置為“不確定”，而不是true或false。這些不確定的字段將不會更改可觀察組成的結果（即，如果其余部分為真，則總體結果將保持為真）。
• 并非所有的ConditionTypeEnum值都受支持。它隨字段而異，但通常在String字段上執行以下工作：EQUALS，DOES_NOT_EQUAL，CONTAINS，DOES_NOT_CONTAIN，STARTS_WITH，ENDS_WITH。如果不支持條件類型，則日志文件中將出現警告。
• 相關對象未處理