Support

Support für Unternehmensanwendungen

Kaspersky Endpoint Security 11 für Windows

„Detection and Response“-Lösungen

Endpoint Detection and Response

Anhang 4. Anforderungen für IOC-Dateien

Kaspersky Endpoint Security 11 für Windows
Нет результатов
Нет результатов
Wissensdatenbank Onlinehilfe
FAQ Systemvoraussetzungen Herunterladen Kaufen Verlängern Forum Support kontaktieren Tools zur Wiederherstellung Produktvideos

Anhang 4. Anforderungen für IOC-Dateien

14. Februar 2024

ID 220828

Als PDF speichern

Beachten Sie bei der Erstellung von IOC-Untersuchungsaufgaben die folgenden Anforderungen und Beschränkungen für IOC-Dateien:

  • Für die Beschreibung von Kompromittierungsindikatoren unterstützt das Programm IOC-Dateien mit den IOC- und XML-Erweiterungen im offenen OpenIOC-Standard Version 1.0 und 1.1.
  • Wenn Sie über die Befehlszeile eine IOC-Untersuchungsaufgabe erstellen und dabei IOC-Dateien hochladen, von denen einige nicht unterstützt werden, verwendet das Programm bei der Ausführung der Aufgabe nur die unterstützten IOC-Dateien. Wenn Sie über die Befehlszeile eine Aufgabe zur IOC-Untersuchung erstellen und alle dabei hochgeladenen IOC-Dateien nicht unterstützt werden, kann die Aufgabe zwar ausgeführt werden, es werden jedoch keine Kompromittierungsindikatoren erkannt. Das Hochladen von nicht unterstützten IOC-Dateien über „Web Console“ oder „Cloud Console“ ist nicht möglich.
  • Semantische Fehler und nicht unterstützte IOC-Ausdrücke und Tags führen nicht zu einem Fehlschlagen der Aufgabe. In solchen Fällen findet das Programm in den entsprechenden Abschnitten der IOC-Datei lediglich keine Übereinstimmung.
  • Die Identifikatoren aller IOC-Dateien, die in einer einzelnen IOC-Untersuchungsaufgabe verwendet werden, müssen eindeutig sein. Das Vorhandensein von IOC-Dateien mit dem gleichen Identifikator kann sich auf die Ergebnisse der Aufgabenausführung auswirken.
  • Eine einzelne IOC-Datei darf nicht größer sein als 2 MB. Die Verwendung größerer Dateien führt dazu, dass IOC-Untersuchungsaufgaben mit einem Fehler abgebrochen werden. Die Gesamtgröße aller zur IOC-Sammlung hinzugefügten Dateien darf 10 MB nicht überschreiten. Wenn die Gesamtgröße aller Dateien 10 MB überschreitet, müssen Sie die IOC-Sammlung aufteilen und mehrere Aufgaben IOC-Untersuchung erstellen.
  • Es wird empfohlen, eine IOC-Datei pro Bedrohung zu erstellen. Das vereinfacht die Analyse der Ergebnisse der IOC-Untersuchungsaufgabe.

Die Datei, die Sie über den unten stehenden Link herunterladen können, enthält eine Tabelle mit einer vollständigen Liste der IOC-Bedingungen gemäß OpenIOC-Standard.

DATEI IOC_TERMS.XLSX HERUNTERLADEN

Die folgende Tabelle enthält die Merkmale und Beschränkungen der Unterstützung des OpenIOC-Standards durch das Programm.

Merkmale und Beschränkungen der Unterstützung für OpenIOC Version 1.0 und 1.1.

Unterstützte Bedingungen

OpenIOC 1.0:

is

isnot (als Ausnahme vom Set)

contains

containsnot (als Ausnahme vom Set)

OpenIOC 1.1:

is

contains

starts-with

ends-with

matches

greater-than

less-than

Unterstützte Attribute von Bedingungen

OpenIOC 1.1:

preserve-case

negate

Unterstützte Operatoren

UND

ODER

Unterstützte Datentypen

"date": Datum (zulässige Bedingungen: is, greater-than, less-than)

"int": Integer (zulässige Bedingungen: is, greater-than, less-than)

"string": String (zulässige Bedingungen: is, contains, matches, starts-with, ends-with)

"duration": Dauer in Sekunden (zulässige Bedingungen: is, greater-than, less-than)

Merkmale der Interpretation von Datentypen

Die Datentypen "boolean string", "restricted string", "md5", "IP", "sha256" und "base64Binary" werden als String interpretiert.

Das Programm unterstützt die Einstellung Content für die Datentypen int und date, wenn diese in Intervallform angegeben ist:

OpenIOC 1.0:

Verwendung des Operators TO im Feld Content:

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1:

Verwendung der Bedingungen greater-than und less-than

Verwendung des Operators TO im Feld Content

Das Programm unterstützt die Interpretation der Datentypen date und duration, wenn die Indikatoren im Format ISO 8601, Zulu Time Zone, UTC angegeben sind.

Kaspersky Endpoint Security für Windows:
Erkennung von hoch entwickelten Cyberbedrohungen
Schützt jeden Endpoint ohne hohe Kosten. Optimiert das zentralisierte Sicherheitsmanagement mit einer Cloud oder Web-Konsole. Kaufen Sie diese Lösung als Teil von Kaspersky Endpoint Security for Business Advanced.
Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen
Direkte Telefonleitung für Support, dedizierte technische Experten und längere Erreichbarkeit bei geschäftskritischen Problemen. Wählen Sie einen Plan aus, senden Sie eine Anfrage und aktivieren den MSA-Vertrag.
War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.