IOC 檔案的要求

建立 IOC 掃描工作時，請考慮以下IOC 檔案要求和限制：

應用程式支援 OpenIOC 格式版本 1.0 和 1.1 中帶有 .IOC 或 .XML 副檔名的 IOC 檔案，這是一種描述入侵指標的開放標準。
IOC 檔案中的語義錯誤和不受支援的 IOC 術語和標籤不會導致工作失敗。對於 IOC 檔案的此類部分，應用程式會記錄不存在符合項目。
IOC 掃描工作中使用的所有 IOC 檔案的 ID必須是唯一的。重複的 ID 可能會影響工作結果的正確性。

IOC 檔案 ID 的範例：

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
我們建議為每個威脅建立一個 IOC 檔案。這會使IOC 掃描工作結果更容易閱讀。

點擊下面的連結可以下載的檔案包含一個表格，其中列出了 OpenIOC 標準的 IOC 術語的完整清單。

下表列出了應用程式支援 OpenIOC 標準方式的特殊考量和限制。

OpenIOC 標準版本 1.0 和 1.1 的功能和限制

支援的條件	OpenIOC 1.0： `is` `isnot`（作為集合的排除項目） `包含` `containsnot`（作為集合的排除項目） OpenIOC 1.1： `is` `包含` `starts-with` `ends-with` `matches` `greater-than` `less-than`
支援的條件屬性	OpenIOC 1.1： `preserve-case` `negate`
受支援的操作	`AND` `OR`
受支援的資料類型	`"date"` : 日期（適用條件：`is`、`greater-than`、`less-than`) `"int"`：整數（適用條件：`is`、`greater-than`、`less-than`） `"string"` : string（適用條件：`is`、`contains`、`matches`、`starts-with`、`ends-with`） `“duration”`：持續時間（以秒為單位）（適用術語：`is`、`greater-than`、`less-than`）
對於解釋資料類型的特殊注意事項	`"boolean string"`、`"restricted string"`、`"md5"`、`"IP"`、`"sha256"`、`"base64Binary"`資料類型被解釋為字串。應用程式支援將`Content`參數解釋為以間隔指定的`int`和`date`資料類型： OpenIOC 1.0：在`內容`欄位中使用`TO`操作： `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1：使用 `greater-than`和 `less-than` 條件在`內容`欄位中使用`TO`運算子如果指標以 `ISO 8601, Zulu time zone, UTC`格式指定，則應用程式支援`日期`和`持續時間`資料類型的解釋。