Anhang 11. Anforderungen für IOC-Dateien

Beachten Sie bei der Erstellung von IOC-Untersuchungsaufgaben die folgenden Anforderungen und Beschränkungen für IOC-Dateien:

Für die Beschreibung von Kompromittierungsindikatoren unterstützt Kaspersky Endpoint Detection and Response Optimum IOC-Dateien mit den Erweiterungen „ioc“ und „xml“ im offenen Standard OpenIOC Version 1.0 und 1.1.
Falls Sie während der Erstellung der IOC-Untersuchungsaufgabe IOC-Dateien hochladen, von denen einige nicht unterstützt werden, so verwendet das Programm bei der Ausführung der Aufgabe nur die unterstützten IOC-Dateien.
Falls Sie während der Erstellung der IOC-Untersuchungsaufgabe nur nicht unterstützte IOC-Dateien hochladen, kann die Aufgabe zwar ausgeführt werden, es werden aber keine Kompromittierungsindikatoren erkannt.
Semantische Fehler und nicht unterstützte IOC-Ausdrücke und Tags führen nicht zu einem Fehlschlagen der Aufgabe. In solchen Fällen findet das Programm in den entsprechenden Abschnitten der IOC-Datei lediglich keine Übereinstimmung.
Die Identifikatoren aller IOC-Dateien, die in einer einzelnen IOC-Untersuchungsaufgabe verwendet werden, müssen eindeutig sein. Das Vorhandensein von IOC-Dateien mit dem gleichen Identifikator kann sich auf die Ergebnisse der Aufgabenausführung auswirken.
Beispiel für den Identifikator einer IOC-Datei:

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance“ xmlns:xsd="http://www.w3.org/2001/XMLSchema“ id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
Eine einzelne IOC-Datei darf nicht größer sein als 3 MB. Die Verwendung größerer Dateien führt dazu, dass IOC-Untersuchungsaufgaben mit einem Fehler abgebrochen werden. Allerdings darf die Gesamtgröße aller zur IOC-Sammlung hinzugefügten Dateien 3 MB überschreiten.
Es wird empfohlen, eine IOC-Datei pro Bedrohung zu erstellen. Das vereinfacht die Analyse der Ergebnisse der IOC-Untersuchungsaufgabe.

Die Datei, die Sie über den untenstehenden Link herunterladen können, enthält eine Tabelle mit einer vollständigen Liste der IOC-Begriffe des OpenIOC-Standards, die von der Lösung Kaspersky Endpoint Detection and Response unterstützt werden.

DATEI IOC_TERMS.XLSX HERUNTERLADEN

Die folgende Tabelle enthält die Merkmale und Beschränkungen der Unterstützung des OpenIOC-Standards durch das Programm.

Merkmale und Beschränkungen der Unterstützung für OpenIOC Version 1.0 und 1.1.

Unterstützte Bedingungen	OpenIOC 1.0: `is` `isnot` (als Ausnahme vom Set) `contains` `containsnot` (als Ausnahme vom Set) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Unterstützte Attribute von Bedingungen	OpenIOC 1.1: `preserve-case` `negate`
Unterstützte Operatoren	`UND` `ODER`
Unterstützte Datentypen	`"date"`: Datum (zulässige Bedingungen: `is`, `greater-than`, `less-than`) `"int"`: Integer (zulässige Bedingungen: `is`, `greater-than`, `less-than`) `"string"`: String (zulässige Bedingungen: `is`, `contains`, `matches`, `starts-with`, `ends-with`) `"duration"`: Dauer in Sekunden (zulässige Bedingungen: `is, greater-than, less-than`)
Merkmale der Interpretation von Datentypen	Die Datentypen `"boolean string"`, `"restricted string"`, `"md5"`, `"IP"`, `"sha256"` und `"base64Binary"` werden als String interpretiert. Das Programm unterstützt die Einstellung `Content` für die Datentypen `int` und `date`, wenn diese in Intervallform angegeben ist: OpenIOC 1.0: Verwendung des Operators `TO` im Feld `Content`: `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: Verwendung der Bedingungen `greater-than` und `less-than` Verwendung des Operators `TO` im Feld `Content` Das Programm unterstützt die Interpretation der Datentypen `date` und `duration`, wenn die Indikatoren im Format `ISO 8601, Zulu Time Zone, UTC` angegeben sind.

Nach oben