Destek

İş Çözümleri için Destek

Kaspersky Endpoint Security 12 for Windows

Ekler

Ek 10. IOC dosya gereksinimleri

Kaspersky Endpoint Security 12 for Windows
Нет результатов
Нет результатов
Çevrimiçi Yardım
SSS Sistem gereksinimleri İndir Satın Alın Yenileyin Forum Destek ile iletişim Kurtarma araçları Ürün videoları

Ek 10. IOC dosya gereksinimleri

14 Şubat 2024

ID 220828

PDF olarak kaydet

IOC Taraması görevleri oluştururken aşağıdaki IOC dosyası gereksinimlerini ve sınırlamalarını göz önünde bulundurun:

  • Uygulama, güvenlik ihlali göstergelerini tanımlamak için açık standart OpenIOC 1.0 ve 1.1 sürümlerinde IOC ve XML uzantılarına sahip IOC dosyalarını destekler.
  • Komut satırında bir IOC Taraması görevi oluşturulurken, bazıları desteklenmeyen IOC dosyalarını yüklemeniz durumunda, görev çalıştırıldığında uygulama sadece desteklenen IOC dosyalarını kullanır. Komut satırında bir IOC Taraması görevi oluşturulurken yüklediğiniz tüm IOC dosyalarının desteklenmediği ortaya çıkması durumunda, görev yine de çalıştırılabilir ancak herhangi bir güvenlik ihlali göstergeleri tespit edilmeyecektir. Web Console veya Cloud Console kullanılarak desteklenmeyen IOC dosyalarının yüklenmesi mümkün değildir.
  • IOC dosyalarındaki anlamsal hatalar ve desteklenmeyen IOC terimleri ve etiketleri, görevin yürütülmesinde başarısızlığa neden olmaz. IOC dosyalarının bu tür bölümlerinde uygulama hiçbir eşleşme algılamaz.
  • Tek bir IOC Taraması görevinde kullanılan tüm IOC dosyalarının tanımlayıcıları benzersiz olmalıdır. Aynı tanımlayıcıya sahip IOC dosyaları olduğunda, bu görev yürütme sonuçlarını etkileyebilir.
  • Tek bir IOC dosyasının en fazla 2 MB olabilir. Daha büyük dosyaların kullanılması, IOC Taraması görevlerinin bir hatayla sonlandırılmasına neden olur. IOC koleksiyonuna eklenen tüm dosyaların toplam boyutu en fazla 10 MB olabilir. Tüm dosyaların toplam boyutu 10 MB üzerinde olduğu takdirde, IOC koleksiyonunu bölmeniz ve birkaç IOC Taraması görevi oluşturmanız gerekir.
  • Her tehdit başına bir IOC dosyası oluşturmanız önerilir. Böylece IOC Taraması görevinin sonuçlarını analiz etmek kolaylaşır.

Aşağıdaki bağlantıya tıklayarak indirebileceğiniz dosyada, OpenIOC standardının IOC terimlerinin tam listesini içeren bir tablo bulunur.

IOC_TERMS.XLSX DOSYASINI İNDİRİN

Uygulamanın OpenIOC standardı desteğinin özellikleri ve sınırlamaları aşağıdaki tabloda gösterilmiştir.

OpenIOC sürüm 1.0 ve 1.1 desteğinin özellikleri ve sınırlamaları.

Desteklenen koşullar

OpenIOC 1.0:

is

isnot (setten bir istisna olarak)

contains

containsnot (setten bir istisna olarak)

OpenIOC 1.1:

is

contains

starts-with

ends-with

matches

greater-than

less-than

Desteklenen koşulların özellikleri

OpenIOC 1.1:

preserve-case

negate

Desteklenen operatörler

AND

OR

Desteklenen veri türleri

"date": tarih (geçerli koşullar: is, greater-than, less-than)

"int": tamsayı (geçerli koşullar: is, greater-than, less-than)

"string": dize (geçerli koşullar: is, contains, matches, starts-with, ends-with)

"duration": saniye olarak süre (geçerli koşullar: is, greater-than, less-than)

Veri türü yorumlama özellikleri

"boolean string", "restricted string", "md5", "IP", "sha256" ve "base64Binary" veri türleri, dize olarak yorumlanır.

Uygulama, aralıklar biçiminde ayarlandığında int ve date veri türleri için Content ayarının yorumlanmasını destekliyor:

OpenIOC 1.0:

Content alanında TO operatörünü kullanarak:

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1:

greater-than ve less-than koşullarını kullanarak

Content alanında TO operatörünü kullanarak

Uygulama, ISO 8601, Zulu Time Zone, UTC biçiminde olduğu sürece date ve duration veri türlerinin yorumlanmasını destekler.

Bu makaleyi faydalı buldunuz mu?
Neyi daha iyi yapabiliriz?
Geri bildiriminiz için teşekkür ederiz! Gelişmemize yardımcı oluyorsunuz.
Geri bildiriminiz için teşekkür ederiz! Gelişmemize yardımcı oluyorsunuz.