Beim Erstellen von IOC-Suchaufgaben sind die folgenden Anforderungen und Einschränkungen in Bezug auf IOC-Dateien beachten:
Eine Datei mit einem Satz von IOC-Indikatoren, die – wenn sie für die Anwendung übereinstimmen – als Erkennung gewertet werden. Die Wahrscheinlichkeit einer Erkennung kann steigen, wenn die Untersuchung für die Daten des untersuchten Objekts mehrere exakte Übereinstimmungen mit IOC-Dateien liefert.
Die App unterstützt IOC-Dateien mit IOC- und XML-Erweiterungen, die dem offenen Standard zur Beschreibung von Kompromittierungsindikatoren OpenIOC 1.0 und 1.1 entsprechen.
Semantische Fehler und von IOC nicht unterstützte Begriffe und Tags in den IOC-Dateien verursachen keine Fehler bei der Aufgabenausführung. Für solche Abschnitte in IOC-Dateien werden von der App fehlende Übereinstimmungen festgehalten.
Die IDs aller IOC-Dateien, die innerhalb einer IOC-Suchaufgabe verwendet werden, müssen eindeutig sein. Das Vorhandensein von IOC-Dateien mit denselben IDs kann die Korrektheit der Ergebnisse der Aufgabenausführung beeinträchtigen.
Die Größe einer IOC-Datei sollte 2 MB nicht überschreiten. Die Verwendung größerer Dateien führt dazu, dass Aufgaben zur IOC-Untersuchung fehlschlagen. Die Gesamtgröße aller zur IOC-Sammlung hinzugefügten Dateien sollten 10 MB nicht überschreiten. Die Gesamtgröße 10 MB überschreitet, müssen Sie die IOC-Sammlung aufteilen und mehrere Aufgaben zur IoC-Untersuchung erstellen.
Es wird empfohlen, für jede Bedrohung eine IOC-Datei zu erstellen. Dadurch sind die Resultate der Aufgabe IoC-Untersuchung leichter ablesbar.
Über den unteren Link können Sie eine Datei herunterladen, die eine Tabelle mit einer vollständigen Liste der IOC-Begriffe des OpenIOC-Standards enthält.
In der folgenden Tabelle sind Besonderheiten und Einschränkungen der App bei der Unterstützung des OpenIOC-Standards aufgeführt.
Besonderheiten und Einschränkungen bei der Unterstützung des OpenIOC-Standards 1.0 und 1.1
Unterstützte Bedingungen
OpenIOC 1.0:
is
isnot (als Ausnahme aus einer Menge)
contains
containsnot (als Ausnahme aus einer Menge)
OpenIOC 1.1:
is
contains
starts-with
ends-with
matches
greater-than
less-than
Unterstützte Attribute der Bedingungen
OpenIOC 1.1:
preserve-case
negate
Unterstützte Operatoren
AND
OR
Unterstützte Datentypen
"date": Datum (anwendbare Bedingungen: is, greater-than, less-than)
"int": Ganzzahl (anwendbare Bedingungen: is, greater-than, less-than)
"string": Zeichenkette (anwendbare Bedingungen: is, contains, matches, starts-with, ends-with)
"duration": Dauer in Sekunden (anwendbare Bedingungen: is, greater-than, less-than)
Besonderheiten bei der Datentypinterpretation
Die Datentypen "boolean string", "restricted string", "md5", "IP", "sha256" und "base64Binary" werden als Zeichenketten (string) interpretiert.
Die App unterstützt die Interpretation des Parameters Content als Bereichsangabe für die Datentypen int und date:
OpenIOC 1.0:
Unter Verwendung des Operators TO im Feld Content:
<Content type="int">49600 TO 50700</Content>
<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>
<Content type="int">[154192 TO 154192]</Content>
OpenIOC 1.1:
Unter Verwendung der Bedingungen greater-than und less-than
Unter Verwendung des Operators TO im Feld Content
Die Anwendung unterstützt die Interpretation der Datentypen date und duration, wenn die Indikatoren im Format ISO 8601, Zulu-Zeitzone und UTC angegeben sind.