Kaspersky Anti Targeted Attack Platform поддерживает индикаторы компрометации открытого стандарта OpenIOC, приведенные в таблице ниже.
Поддерживаемые индикаторы компрометации
Индикатор компрометации OpenIOC |
Ограничения в реализации (если имеются) |
|---|---|
FileItem/FileName |
Нет значения. |
FileItem/Md5sum |
Нет значения. |
FileItem/FilePath |
Не поддерживается раскрытие user-specific переменных окружения. Например, |
FileItem/SizeInBytes |
Нет значения. |
RegistryItem/KeyPath |
Нет значения. |
RegistryItem/Path |
Не поддерживаются сканирование user-specific ключей через HKEY_CURRENT_USER и HKEY_CLASSES_ROOT для неавторизованных пользователей. |
RegistryItem/Value |
Нет значения. |
FileItem/PEInfo/PETimeStamp |
Нет значения. |
FileItem/FullPath |
Не поддерживается раскрытие user-specific переменных окружения. Например, |
PortItem/remoteIP |
Нет значения. |
FileItem/PEInfo/DetectedAnomalies/string |
Поддерживается только checksum_is_zero. |
FileItem/FileExtension |
Нет значения. |
DnsEntryItem/RecordName |
Нет значения. |
ProcessItem/name |
Нет значения. |
RegistryItem/ValueName |
Нет значения. |
RegistryItem/Text |
Нет значения. |
ServiceItem/name |
Нет значения. |
FileItem/PEInfo/Exports/ExportedFunctions/string |
Нет значения. |
FileItem/PEInfo/Exports/DllName |
Нет значения. |
FileItem/PEInfo/VersionInfoList/VersionInfoItem/OriginalFilename |
Нет значения. |
FileItem/PEInfo/ImportedModules/Module/ImportedFunctions/string |
Нет значения. |
FileItem/PEInfo/VersionInfoList/VersionInfoItem/FileDescription |
Нет значения. |
ProcessItem/arguments |
Нет значения. |
PortItem/remotePort |
Нет значения. |
DnsEntryItem/RecordData/IPv4Address |
Нет значения. |
FileItem/PEInfo/VersionInfoList/VersionInfoItem/InternalName |
Нет значения. |
FileItem/PEInfo/Exports/NumberOfFunctions |
Нет значения. |
FileItem/PEInfo/DigitalSignature/SignatureExists |
Нет значения. |
ProcessItem/SectionList/MemorySection/Name |
Нет значения. |
FileItem/PEInfo/Type |
Нет значения. |
ProcessItem/path |
Нет значения. |
PortItem/localPort |
Нет значения. |
FileItem/PEInfo/VersionInfoList/VersionInfoItem/CompanyName |
Нет значения. |
ProcessItem/SectionList/MemorySection/Md5sum |
Нет значения. |
DnsEntryItem/Host |
Нет значения. |
PortItem/protocol |
Нет значения. |
FileItem/PEInfo/VersionInfoList/VersionInfoItem/ProductName |
Нет значения. |
ServiceItem/description |
Нет значения. |
FileItem/PEInfo/ResourceInfoList/ResourceInfoItem/Name |
Нет значения. |
FileItem/PEInfo/ResourceInfoList/ResourceInfoItem/Language |
Нет значения. |
ServiceItem/descriptiveName |
Нет значения. |
FileItem/PEInfo/VersionInfoList/VersionInfoItem/Language |
Нет значения. |
FileItem/PEInfo/VersionInfoList/VersionInfoItem/LegalCopyright |
Нет значения. |
FileItem/PEInfo/ImportedModules/Module/Name |
Нет значения. |
ServiceItem/serviceDLL |
Нет значения. |
FileItem/PEInfo/VersionInfoList/VersionInfoItem/FileVersion |
Нет значения. |
FileItem/PEInfo/Sections/Section/Name |
Нет значения. |
FileItem/PEInfo/DigitalSignature/SignatureVerified |
Нет значения. |
ServiceItem/path |
Нет значения. |
FileItem/PEInfo/Subsystem |
Нет значения. |
FileItem/Sha256sum |
Нет значения. |
RegistryItem/Type |
Нет значения. |
FileItem/PEInfo/DigitalSignature/CertificateSubject |
Нет значения. |
EventLogItem/EID |
Нет значения. |
FileItem/PEInfo/ResourceInfoList/ResourceInfoItem/Type |
Нет значения. |
VolumeItem/Name |
Нет значения. |
EventLogItem/source |
Нет значения. |
PortItem/state |
Нет значения. |
UserItem/Username |
Сканируются только локальные пользователи. Сканирование доменных пользователей не поддерживается. |
FileItem/PEInfo/VersionInfoList/VersionInfoItem/ProductVersion |
Нет значения. |
DnsEntryItem/RecordType |
Нет значения. |
VolumeItem/VolumeName |
Нет значения. |
PortItem/localIP |
Нет значения. |
ProcessItem/parentpid |
Нет значения. |
FileItem/PEInfo/DigitalSignature/CertificateIssuer |
Нет значения. |
ProcessItem/SectionList/MemorySection/Protection |
Нет значения. |
ProcessItem/SectionList/MemorySection/Sha256sum |
Нет значения. |
FileItem/PEInfo/Exports/ExportsTimeStamp |
Нет значения. |
ProcessItem/Username |
Нет значения. |
ServiceItem/status |
Нет значения. |
ArpEntryItem/CacheType |
Нет значения. |
ArpEntryItem/IPv4Address |
Нет значения. |
ArpEntryItem/Interface |
Нет значения. |
ArpEntryItem/PhysicalAddress |
Нет значения. |
DnsEntryItem/DataLength |
Нет значения. |
DnsEntryItem/Flags |
Нет значения. |
DnsEntryItem/RecordData/Host |
Нет значения. |
DnsEntryItem/RecordName |
Нет значения. |
DnsEntryItem/TimeToLive |
Нет значения. |
VolumeItem/ActualAvailableAllocationUnits |
Нет значения. |
VolumeItem/BytesPerSector |
Нет значения. |
VolumeItem/CreationTime |
Нет значения. |
VolumeItem/DevicePath |
Нет значения. |
VolumeItem/DriveLetter |
Нет значения. |
VolumeItem/FileSystemFlags |
Нет значения. |
VolumeItem/FileSystemName |
Нет значения. |
VolumeItem/IsMounted |
Нет значения. |
VolumeItem/SectorsPerAllocationUnit |
Нет значения. |
VolumeItem/SerialNumber |
Нет значения. |
VolumeItem/TotalAllocationUnits |
Нет значения. |
VolumeItem/Type |
Нет значения. |
UserItem/LastLogin |
Нет значения. |
UserItem/SecurityID |
Нет значения. |
UserItem/SecurityType |
Нет значения. |
UserItem/description |
Нет значения. |
UserItem/disabled |
Нет значения. |
UserItem/fullname |
Нет значения. |
UserItem/homedirectory |
Нет значения. |
UserItem/lockedout |
Нет значения. |
UserItem/passwordrequired |
Нет значения. |
UserItem/scriptpath |
Нет значения. |
UserItem/userpasswordage |
Нет значения. |
PortItem/CreationTime |
Нет значения. |
PortItem/path |
Нет значения. |
PortItem/pid |
Нет значения. |
PortItem/process |
Нет значения. |
EventLogItem/log |
Нет значения. |
EventLogItem/index |
Нет значения. |
EventLogItem/user |
Нет значения. |
EventLogItem/genTime |
Нет значения. |
EventLogItem/machine |
Нет значения. |
EventLogItem/CorrelationActivityId |
Нет значения. |
EventLogItem/CorrelationRelatedActivityId |
Нет значения. |
EventLogItem/ExecutionProcessId |
Нет значения. |
EventLogItem/ExecutionThreadId |
Нет значения. |
RegistryItem/Hive |
Не поддерживаются сканирование user-specific ключей через HKEY_CURRENT_USER и HKEY_CLASSES_ROOT для неавторизованных пользователей. |
ServiceItem/pid |
Нет значения. |
ServiceItem/type |
Нет значения. |
ServiceItem/startedAs |
Нет значения. |
ServiceItem/arguments |
Нет значения. |
ServiceItem/mode |
Нет значения. |
ProcessItem/pid |
Нет значения. |
ProcessItem/startTime |
Нет значения. |
ProcessItem/SectionList/MemorySection/RegionSize |
Нет значения. |
ProcessItem/SectionList/MemorySection/RegionStart |
Нет значения. |
FileItem/PEInfo/VersionInfoList/VersionInfoItem/Comments |
Нет значения. |
FileItem/PEInfo/VersionInfoList/VersionInfoItem/LegalTrademarks |
Нет значения. |
FileItem/PEInfo/VersionInfoList/VersionInfoItem/PrivateBuild |
Нет значения. |
FileItem/PEInfo/VersionInfoList/VersionInfoItem/SpecialBuild |
Нет значения. |
FileItem/PEInfo/BaseAddress |
Нет значения. |
FileItem/PEInfo/Exports/NumberOfNames |
Нет значения. |
FileItem/PEInfo/ImportedModules/Module/NumberOfFunctions |
Нет значения. |
FileItem/PEInfo/ResourceInfoList/ResourceInfoItem/Size |
Нет значения. |
FileItem/PEInfo/Sections/ActualNumberOfSections |
Нет значения. |
FileItem/PEInfo/Sections/NumberOfSections |
Нет значения. |
FileItem/PEInfo/Sections/Section/SizeInBytes |
Нет значения. |