Anforderungen an IOC-Dateien

Beim Erstellen von IOC-Suchaufgaben sind die folgenden Anforderungen und Einschränkungen in Bezug auf IOC-Dateien beachten:

Die App unterstützt IOC-Dateien mit IOC- und XML-Erweiterungen, die dem offenen Standard zur Beschreibung von Kompromittierungsindikatoren OpenIOC 1.0 und 1.1 entsprechen.
Semantische Fehler und von IOC nicht unterstützte Begriffe und Tags in den IOC-Dateien verursachen keine Fehler bei der Aufgabenausführung. Für solche Abschnitte in IOC-Dateien werden von der App fehlende Übereinstimmungen festgehalten.
Die IDs aller IOC-Dateien, die innerhalb einer IOC-Suchaufgabe verwendet werden, müssen eindeutig sein. Das Vorhandensein von IOC-Dateien mit denselben IDs kann die Korrektheit der Ergebnisse der Aufgabenausführung beeinträchtigen.
Beispiel für eine ID einer IOC-Datei:

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
Die Größe einer IOC-Datei sollte 2 MB nicht überschreiten. Die Verwendung größerer Dateien führt dazu, dass Aufgaben zur IOC-Untersuchung fehlschlagen. Die Gesamtgröße aller zur IOC-Sammlung hinzugefügten Dateien sollten 10 MB nicht überschreiten. Die Gesamtgröße 10 MB überschreitet, müssen Sie die IOC-Sammlung aufteilen und mehrere Aufgaben zur IoC-Untersuchung erstellen.
Es wird empfohlen, für jede Bedrohung eine IOC-Datei zu erstellen. Dadurch sind die Resultate der Aufgabe IoC-Untersuchung leichter ablesbar.

Über den unteren Link können Sie eine Datei herunterladen, die eine Tabelle mit einer vollständigen Liste der IOC-Begriffe des OpenIOC-Standards enthält.

IOC_TERMS.XLSX HERUNTERLADEN

In der folgenden Tabelle sind Besonderheiten und Einschränkungen der App bei der Unterstützung des OpenIOC-Standards aufgeführt.

Besonderheiten und Einschränkungen bei der Unterstützung des OpenIOC-Standards 1.0 und 1.1

Unterstützte Bedingungen	OpenIOC 1.0: `is` `isnot` (als Ausnahme aus einer Menge) `contains` `containsnot` (als Ausnahme aus einer Menge) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Unterstützte Attribute der Bedingungen	OpenIOC 1.1: `preserve-case` `negate`
Unterstützte Operatoren	`AND` `OR`
Unterstützte Datentypen	`"date"`: Datum (anwendbare Bedingungen: `is`, `greater-than`, `less-than`) `"int"`: Ganzzahl (anwendbare Bedingungen: `is`, `greater-than`, `less-than`) `"string"`: Zeichenkette (anwendbare Bedingungen: `is`, `contains`, `matches`, `starts-with`, `ends-with`) `"duration"`: Dauer in Sekunden (anwendbare Bedingungen: `is`, `greater-than`, `less-than`)
Besonderheiten bei der Datentypinterpretation	Die Datentypen `"boolean string"`, `"restricted string"`, `"md5"`, `"IP"`, `"sha256"` und `"base64Binary"` werden als Zeichenketten (string) interpretiert. Die App unterstützt die Interpretation des Parameters `Content` als Bereichsangabe für die Datentypen `int` und `date`: OpenIOC 1.0: Unter Verwendung des Operators `TO` im Feld `Content`: `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: Unter Verwendung der Bedingungen `greater-than` und `less-than` Unter Verwendung des Operators `TO` im Feld `Content` Die Anwendung unterstützt die Interpretation der Datentypen `date` und `duration`, wenn die Indikatoren im Format `ISO 8601, Zulu-Zeitzone und UTC` angegeben sind.

Nach oben