ブラウザで JavaScript を有効にしてください
IOC ファイルの要件
IOC スキャンタスクを作成する時は、次のIOC ファイルの 要件と制限を考慮してください:
本製品は、セキュリティ侵害インジケーターを記述するためのオープン標準 OpenIOC バージョン 1.0 および 1.1 または STIX バージョン 2.0 および 2.1 の IOC、XML および JSON 拡張子を持つ IOC ファイルをサポートします。 コマンドラインで IOC スキャンタスクを作成する時に、サポートされていない IOC ファイルをアップロードすると、タスクの実行時に、サポートされている IOCファイルのみが使用されます。コマンドラインで IOC スキャンタスクを作成する時に、アップロードしたすべての IOCファイルがサポートされていないことが判明した場合もタスクは実行できますが、セキュリティ侵害インジケーターは検知されません。Web コンソールまたは Cloud コンソールを使用して、サポートされていない IOCファイルをアップロードすることはできません。 IOC ファイル内のセマンティックエラーやサポートされていない IOC 用語およびタグによって、タスクの実行が失敗することはありません。IOC ファイルのこのようなセクションでは、本製品は一致を検知しません。 単一の IOC スキャンタスクで使用されるすべての IOCファイルの識別子は一意である必要があります。同じ識別子を持つ IOC ファイルが存在する場合、タスクの実行結果に影響する可能性があります。 1 つの IOCファイルのサイズは 2 MB 以内にする必要があります。サイズを超えたファイルを使用すると、IOC スキャンタスクがエラーで終了します。IOC コレクションに追加されるすべてのファイルの合計サイズは 10 MB 以内にする必要があります。すべてのファイルの合計サイズが 10 MB を超える場合は、IOC コレクションを分割し、複数の IOC スキャンタスクを作成する必要があります。 脅威ごとに 1 つの IOC ファイルを作成することを推奨します。これにより、IOC スキャンタスクの結果の分析が容易になります。
本製品による IOC ファイルのサポートの機能と制限を次のテーブルに示します。
IOC ドキュメントのサポートの機能と制限。
サポートされている条件
OpenIOC 1.0:
is
isnot(集合からの例外として)
contains
containsnot(セットからの例外として)
OpenIOC 1.1:
is
contains
starts-with
ends-with
matches
greater-than
less-than
STIX 2.0 および 2.1:
=
!=
>
<
=>
<=
in
like
matches
サポートされている条件属性
OpenIOC 1.1:
preserve-case
negate
サポートされている演算子
AND
OR
サポートされているデータ型
"date": 日付(適用可能な条件:is、greater-than、less-than)
"int":整数(適用可能な条件:is、greater-than、less-than)
"string" : 文字列(適用可能な条件:is、contains、matches、starts-with、ends-with)
"duration" : 秒単位の継続時間(適用可能な条件:is、greater-than、less-than)
データ型解釈の特徴
「ブール文字列」「制限付き文字列」「md5」「IP」「sha256」「base64Binary」データ型は、文字列として解釈されます。
本製品は、時間間隔の形式で設定されている場合に、int および date データ型のコンテンツ設定の解釈をサポートします。
OpenIOC 1.0:
[Content]フィールドで TO 演算子を使用する:
<Content type="int">49600 TO 50700</Content>
<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>
<Content type="int">[154192 TO 154192]</Content>
OpenIOC 1.1:
greater-than と less-than 条件の使用
[Content]フィールドで TO 演算子を使用する
本製品は、インジケーターが ISO 8601 、 Zulu タイムゾーン、 UTC 形式で設定されている場合、日付と期間のデータ型の解釈をサポートします。
ページのトップに戻る