IOC ファイルの要件
[IOC スキャン]タスクを作成するときは、次のIOC ファイルの要件と制限を考慮してください:
- 本製品は、侵害の兆候を記述するためのオープンスタンダードである OpenIOC 形式バージョン 1.0 および 1.1 の .IOC または .XML 拡張子を持つ IOC ファイルに対応しています。
- IOC ファイル内のセマンティックエラーやサポートされていない IOC 用語およびタグによってタスクが失敗することはありません。IOC ファイルのこのようなセクションについては、本製品は一致がないことを登録します。
- [IOC スキャン]タスクで使用されるすべての IOC ファイルの ID は一意である必要があります。ID が重複すると、タスク結果の正確性に影響する可能性があります。
- 脅威ごとに IOC ファイルを作成することを推奨します。これにより、[IOC スキャン]タスクの結果が読みやすくなります。
以下のリンクをクリックしてダウンロードできるファイルには、OpenIOC 標準の IOC 用語の完全なリストを含む表が含まれています。
「IOC_Terms.xlsx」ファイルをダウンロード
本製品が OpenIOC 標準をサポートする方法に関する特別な考慮事項と制限事項を以下の表に示します。
OpenIOC 標準バージョン 1.0 および 1.1 の機能と制限
|
対応条件
|
OpenIOC 1.0:
isisnot(セットからの除外として)containscontainsnot(セットからの除外として)
OpenIOC 1.1:
iscontainsstarts-withends-withmatchesgreater-thanless-than |
|
条件の対応属性
|
OpenIOC 1.1:
|
|
対応オペレーター
|
AND
OR
|
|
対応データ種別
|
"date":日付(適用可能な条件:is、greater-than、less-than)
"int":整数(適用可能な条件:is、greater-than、less-than)
"string":文字列(適用可能な条件:is、contains、matches、starts-with、ends-with)
"duration":秒単位の期間(適用可能な用語:is、greater-than、less-than)
|
|
データ種別の解釈に関する特別な考慮事項
|
"boolean string"、"restricted string"、"md5"、"IP"、"sha256"、"base64Binary"のデータ種別は文字列として解釈されます。
本製品は、間隔として指定された int および date データ種別の Content パラメータの解釈に対応しています。
- OpenIOC 1.0:
Contentフィールドで TO 演算子を使用します:
<Content type="int">49600 TO 50700</Content>
<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>
<Content type="int">[154192 TO 154192]</Content>
- OpenIOC 1.1:
greater-than と less-than の条件の使用Contentフィールドで TO の演算子の使用
本製品は、インジケーターが ISO 8601, Zulu time zone, UTC 形式で指定されている場合、dateとdurationのデータ種別の解釈に対応しています。
|
ページのトップに戻る