Anforderungen an IOC-Dateien

Beachten Sie beim Erstellen von IOC-Untersuchungsaufgaben die folgenden Anforderungen und Einschränkungen für IOC-Dateien:

Die Anwendung unterstützt IOC-Dateien mit ioc- und xml-Erweiterungen in den Versionen 1.0 und 1.1 des offenen OpenIOC-Standards zur Beschreibung von Kompromittierungsindikatoren.
Wenn Sie beim Erstellen einer IOC-Untersuchungsaufgabe über die Befehlszeile IOC-Dateien hochladen, von denen einige nicht unterstützt werden, verwendet die Anwendung beim Ausführen der Aufgabe nur die unterstützten IOC-Dateien. Wenn sich beim Erstellen einer IOC-Untersuchungsaufgabe über die Befehlszeile herausstellt, dass keine der hochgeladenen IOC-Dateien unterstützt wird, kann die Aufgabe trotzdem ausgeführt werden. in diesem Fall werden jedoch keine Kompromittierungsindikatoren gefunden. Es ist nicht möglich, nicht unterstützte IOC-Dateien über die Web Console oder Cloud Console hochzuladen.
Semantische Fehler sowie nicht unterstützte IOC-Ausdrücke und Tags in den IOC-Dateien führen nicht dazu, dass die Ausführung der Aufgabe fehlschlägt. Für solche Abschnitten in den IOC-Dateien erkennt die Anwendung keine Übereinstimmung.
Die IDs aller IOC-Dateien, die innerhalb einer IOC-Untersuchungsaufgabe verwendet werden, müssen eindeutig sein. Sollten IOC-Dateien mit derselben ID vorhanden sind, kann sich dies auf die Ergebnisse der Aufgabenausführung auswirken.
Eine IOC-Datei darf maximal 2 MB groß sein. Größere Dateien führen zu einem Fehlerabbruch von IOC-Untersuchungsaufgaben. Die Gesamtgröße aller zur IOC-Sammlung hinzugefügten Dateien sollte maximal 10 MB betragen. Wenn die Gesamtgröße aller Dateien 10 MB überschreitet, müssen Sie die IOC-Sammlung aufteilen und mehrere IOC-Untersuchungsaufgaben erstellen.
Es wird empfohlen, pro Bedrohung eine IOC-Datei zu erstellen. Dies erleichtert die Ergebnisanalyse der IOC-Untersuchungsaufgabe.

Die folgenden Tabelle zeigt enthält Merkmale und Einschränkungen der Anwendung im Bezug auf die Unterstützung des OpenIOC-Standards.

Merkmale und Einschränkungen in der Unterstützung von OpenIOC Version 1.0 und 1.1.

Unterstützte Bedingungen	OpenIOC 1.0: `is` `isnot` (als Ausnahme der Menge) `contains` `containsnot` (als Ausnahme der Menge) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Unterstützte Attribute der Bedingungen	OpenIOC 1.1: `preserve-case` `negate`
Unterstützte Operatoren	`AND` `OR`
Unterstützte Datentypen	`"date"`: Datum (anwendbare Bedingungen: `is`, `greater-than`, `less-than`) `"int"`: Integer (anwendbare Bedingungen: `is`, `greater-than`, `less-than`) `"string"`: String (anwendbare Bedingungen: `is`, `contains`, `matches`, `starts-with`, `ends-with`) `"duration"`: Dauer in Sekunden (anwendbare Bedingungen: `is`, `greater-than`, `less-than`)
Besonderheiten der Datentypinterpretation	Die folgenden Datentypen werden String interpretiert: `"boolean string"`, `"restricted string"`, `"md5"`, `"IP"`, `"sha256"` und `"base64Binary"`. Das Programm unterstützt die Interpretation der Einstellung `Content` für die Datentypen `int` und `date`, wenn Intervalle angegeben werden: OpenIOC 1.0: Verwendung des Operators `TO` im Feld `Content`: `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: Verwendung der Bedingungen `greater-than` und `less-than` Verwendung des Operators `TO` im Feld `Content` Das Programm unterstützt die Interpretation der Datentypen `date` und `duration`, wenn die Indikatoren im Format `ISO 8601`, `Zulu Time Zone`, `UTC format` angegeben werden.

Nach oben