IOC ファイルの要件
[IOC スキャン]タスクを作成するときは、次のIOC ファイルの要件と制限を考慮してください:
- アプリケーションは、IOC および XML 拡張子の IOC ファイルに対応しています。これらのファイルは、IOC 記述にオープンスタンダード(OpenIOC バージョン 1.0 および 1.1)を使用します。
- IOC ファイル内のセマンティックエラーやサポートされていない IOC 用語およびタグによってタスクが失敗することはありません。IOC ファイルのこのようなセクションについては、本製品は一致がないことを登録します。
- [IOC スキャン]タスクで使用されるすべての IOC ファイルの ID は一意である必要があります。ID が重複すると、タスク結果の正確性に影響する可能性があります。
- 脅威ごとに IOC ファイルを作成することを推奨します。これにより、[IOC スキャン]タスクの結果が読みやすくなります。
以下のリンクをクリックしてダウンロードできるファイルには、OpenIOC 標準の IOC 用語の完全なリストを含む表が含まれています。
IOC_TERMS.XLSX のダウンロード
本製品が OpenIOC 標準をサポートする方法に関する特別な考慮事項と制限事項を以下の表に示します。
OpenIOC 標準バージョン 1.0 および 1.1 の機能と制限
|
対応条件
|
OpenIOC 1.0:
isisnot(セットからの除外として)containscontainsnot(セットからの除外として)
OpenIOC 1.1: iscontainsstarts-withends-withmatchesgreater-thanless-than |
|
条件の対応属性
|
OpenIOC 1.1:
|
|
対応オペレーター
|
AND
OR
|
|
対応データ種別
|
「date」:日付(適用可能な条件:is、greater-than、less-than)
「int」:整数(適用可能な条件:is、greater-than、less-than)
「string」:文字列(適用可能な条件:is、contains、matches、starts-with、ends-with)
「duration」:秒単位の期間(適用可能な用語:is、greater-than、less-than)
|
|
データ種別の解釈に関する特別な考慮事項
|
「ブール文字列」、「制限付き文字列」、「md5」、「IP」、「sha256」、「base64Binary」のデータ種別は文字列として解釈されます。
本製品は、間隔として指定された int および date データ種別の Content パラメータの解釈に対応しています。
- OpenIOC 1.0:
コンテンツフィールドで TO 演算子を使用します:
<Content type="int">49600 TO 50700</Content>
<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>
<Content type="int">[154192 TO 154192]</Content>
- OpenIOC 1.1:
greater-than と less-than の条件の使用コンテンツフィールドで TO の演算子の使用
本製品は、インジケーターが ISO 8601、ズールータイムゾーン、UTC 形式で指定されている場合、日付と期間のデータ種別の解釈に対応しています。 |
ページのトップに戻る