الملحق رقم 11. متطلبات ملف IOC

عند إنشاء مهام فحص IOC، ضع في اعتبارك متطلبات وقيود ملف IOC التالية:

يدعم Kaspersky Endpoint Detection and Response Optimum ملفات IOC بامتدادات IOC وXML في إصدارات OpenIOC القياسية المفتوحة 1.0 و1.1 لوصف مؤشرات الاختراق.
إذا قمت أثناء إنشاء مهمة فحص IOC بتحميل ملفات IOC، بعضها غير مدعوم، فعند تشغيل المهمة، لا يستخدم التطبيق سوى ملفات IOC المدعومة.
إذا قمت أثناء إنشاء مهمة فحص IOC بتحميل ملفات IOC غير المدعومة فقط، فلا يزال من الممكن تشغيل المهمة، لكن لن يتم اكتشاف أي مؤشرات على الاختراق.
لا تتسبب الأخطاء الدلالية وشروط وعلامات IOC غير المدعومة في ملفات IOC في فشل تنفيذ المهمة. وفي هذه الأقسام من ملفات IOC، يكتشف التطبيق عدم وجود تطابق.
يجب أن تكون معرفات كل ملفات IOC المستخدمة في مهمة فحص IOC معرفات فريدة. وإذا كانت هناك ملفات IOC بالمعرف نفسه، فقد تؤثر على نتائج تنفيذ المهمة.
مثال على معرّف ملف IOC:‏

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
يجب ألا يتجاوز حجم ملف IOC واحد 3 ميجا بايت. وسيؤدي استخدام ملفات أكبر إلى إيقاف مهام فحص IOC بخطأ. ومع ذلك، قد يتجاوز الحجم الإجمالي لكل الملفات المضافة إلى مجموعة IOC حجم 3 ميجا بايت.
يوصى بإنشاء ملف IOC واحد لكل تهديد. ويسهل هذا تحليل نتائج مهمة فحص IOC.‏

يحتوي الملف الذي يمكنك تنزيله بالنقر فوق الارتباط أدناه على جدول يحتوي على قائمة كاملة بشروط IOC لمعيار OpenIOC المدعوم بواسطة حل Kaspersky Endpoint Detection and Response.‏

تنزيل ملف ‏DOWNLOAD THE IOC_TERMS.XLSX‏

يوضح الجدول التالي ميزات وقيود دعم التطبيق لمعيار OpenIOC.‏

ميزات وقيود دعم OpenIOC الإصدارين 1.0 و1.1.

الشروط المدعومة	OpenIOC 1.0: `is` `isnot` (كاستثناء من المجموعة) `contains` `containsnot` (كاستثناء من المجموعة) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
سمات الشروط المدعومة	OpenIOC 1.1: `preserve-case` `negate`
المشغلون المدعومون	`AND` `OR`
أنواع البيانات المدعومة	`"date"`: التاريخ (الشروط القابلة للتطبيق: `is`، ‏`greater-than`، ‏`less-than`) `"int"`: عدد صحيح (الشروط القابلة للتطبيق: `is`، ‏`greater-than`، ‏`less-than`) `"string"`: السلسلة (الشروط القابلة للتطبيق: `is`، ‏`contains`، ‏`matches`، ‏`starts-with`، ‏`ends-with`) `"duration"`: المدة بالثواني (الشروط المطبقة (الشروط القابلة للتطبيق: `is، ‏greater-than، ‏less-than`)
ميزات تفسير نوع البيانات	تُفسر أنواع البيانات `"boolean string"` و`"restricted string"` و`"md5"` و`"IP"` و`"sha256"` و`"base64Binary"` كسلسلة. يدعم التطبيق تفسير إعداد `المحتوى` لنوعي البيانات `int` و`date` عند تعيينهما في شكل فترات زمنية: OpenIOC 1.0: استخدام المشغل `TO` في الحقل `Content` : `‎<Content type="int">49600 TO 50700</Content>‎` `‎<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>‎` `‎<Content type="int">[154192 TO 154192]</Content>‎` OpenIOC 1.1: استخدام شرطي `greater-than` و`less-than` استخدام المشغل `TO` في الحقل `Content` يدعم التطبيق تفسير نوعي بيانات `date` و`duration` في حالة تعيين المؤشرات بتنسيق `ISO 8601، ‏Zulu Time Zone، ‏UTC`.‏

أعلى الصفحة