IOC ファイルの要件

IOC スキャンタスクを作成する時は、次のIOC ファイルの要件と制限を考慮してください：

• 本製品は、セキュリティ侵害インジケーターを記述するためのオープン標準 OpenIOC バージョン 1.0 および 1.1 の IOC および XML 拡張子を持つ IOC ファイルをサポートします。
• コマンドラインで IOC スキャンタスクを作成する時に、サポートされていない IOC ファイルをアップロードすると、タスクの実行時に、サポートされている IOCファイルのみが使用されます。コマンドラインで IOC スキャンタスクを作成する時に、アップロードしたすべての IOCファイルがサポートされていないことが判明した場合もタスクは実行できますが、セキュリティ侵害インジケーターは検知されません。Web コンソールまたは Cloud コンソールを使用して、サポートされていない IOCファイルをアップロードすることはできません。
• IOC ファイル内のセマンティックエラーやサポートされていない IOC 用語およびタグによって、タスクの実行が失敗することはありません。IOC ファイルのこのようなセクションでは、本製品は一致を検知しません。
• 単一の IOC スキャンタスクで使用されるすべての IOCファイルの識別子は一意である必要があります。同じ識別子を持つ IOC ファイルが存在する場合、タスクの実行結果に影響する可能性があります。
• 1 つの IOCファイルのサイズは 2 MB 以内にする必要があります。サイズを超えたファイルを使用すると、IOC スキャンタスクがエラーで終了します。IOC コレクションに追加されるすべてのファイルの合計サイズは 10 MB 以内にする必要があります。すべてのファイルの合計サイズが 10 MB を超える場合は、IOC コレクションを分割し、複数の IOC スキャンタスクを作成する必要があります。
• 脅威ごとに 1 つの IOC ファイルを作成することを推奨します。これにより、IOC スキャンタスクの結果の分析が容易になります。

本製品による OpenIOC 標準のサポートの機能と制限を次のテーブルに示します。

OpenIOC バージョン 1.0 および 1.1 のサポートの機能と制限。

サポートされている条件	OpenIOC 1.0： is isnot（集合からの例外として） contains containsnot（セットからの例外として） OpenIOC 1.1： is contains starts-with ends-with matches greater-than less-than
サポートされている条件属性	OpenIOC 1.1： preserve-case negate
サポートされている演算子	AND OR
サポートされているデータ型	"date": 日付（適用可能な条件：is、greater-than、less-than） "int"：整数（適用可能な条件：is、greater-than、less-than） "string" : 文字列（適用可能な条件：is、contains、matches、starts-with、ends-with） "duration" : 秒単位の継続時間（適用可能な条件：is、greater-than、less-than）
データ型解釈の特徴	「ブール文字列」「制限付き文字列」「md5」「IP」「sha256」「base64Binary」データ型は、文字列として解釈されます。 本製品は、時間間隔の形式で設定されている場合に、int および date データ型のコンテンツ設定の解釈をサポートします。 OpenIOC 1.0： ［Content］フィールドで TO 演算子を使用する： <Content type="int">49600 TO 50700</Content> <Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content> <Content type="int">[154192 TO 154192]</Content> OpenIOC 1.1： greater-than と less-than 条件の使用 ［Content］フィールドで TO 演算子を使用する 本製品は、インジケーターが ISO 8601 、 Zulu タイムゾーン、 UTC 形式で設定されている場合、日付と期間のデータ型の解釈をサポートします。

ページのトップに戻る