Apéndice 11. Requisitos de archivos de IOC

Al crear tareas de Análisis de IOC, tenga en cuenta los siguientes requisitos y limitaciones de los archivos de IOC:

Kaspersky Endpoint Detection and Response Optimum es compatible con archivos de IOC con extensiones IOC y XML en las versiones 1.0 y 1.1 del estándar abierto OpenIOC para describir indicadores de compromiso.
Si se cargan archivos de IOC (algunos de los cuales no son compatibles) durante la creación de la tarea de análisis de IOC, la aplicación utiliza solo los archivos de IOC compatibles cuando se ejecuta la tarea.
Si solo se cargan archivos de IOC no compatibles durante la tarea de análisis de IOC, la tarea de análisis puede llevarse a cabo, pero no se detectarán indicadores de compromiso.
Los errores semánticos y los términos y etiquetas de IOC no compatibles en archivos de IOC no hacen que falle la ejecución de la tarea. En dichas secciones de archivos de IOC, la aplicación no detecta una coincidencia.
Los identificadores de todos los archivos de IOC utilizados en una sola tarea de análisis de IOC deben ser únicos. Si hay archivos de IOC con el mismo identificador, esto puede afectar los resultados de la ejecución de la tarea.
Ejemplo de un identificador de archivos de IOC:

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
Un solo archivo de IOC no debe superar los 3 MB de tamaño. Usar archivos más grandes hará que las tareas de análisis de IOC finalicen con un error. Dicho esto, el tamaño total de todos archivos agregados a la colección de IOC puede superar los 3 MB.
Se recomienda crear un archivo de IOC por amenaza. Esto facilita el análisis de los resultados de la tarea de análisis de IOC.

El archivo que puede descargar haciendo clic en el siguiente vínculo, contiene una tabla con la lista completa de términos IOC del estándar OpenIOC que son compatibles con la solución Kaspersky Endpoint Detection and Response.

DESCARGAR EL ARCHIVO IOC_TERMS.XLSX

Las funcionalidades y limitaciones en la compatibilidad de la aplicación con el estándar OpenIOC se enumeran en la siguiente tabla.

Funcionalidades y limitaciones en la compatibilidad con OpenIOC versiones 1.0 y 1.1.

Condiciones compatibles	OpenIOC 1.0: `is` `isnot` (como una excepción del grupo) `contains` `containsnot` (como una excepción del grupo) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Atributos de la condición compatible	OpenIOC 1.1: `preserve-case` `negate`
Operadores compatibles	`AND` `OR`
Tipos de datos compatibles	`"date"`: fecha (condiciones aplicables: `is`, `greater-than`, `less-than`) `"int"`: número entero (condiciones aplicables: `is`, `greater-than`, `less-than`) `"string"`: serie (condiciones aplicables: `is`, `contains`, `matches`, `starts-with`, `ends-with`) `"duration"`: duración en segundos (condiciones aplicables: `is, greater-than, less-than`)
Funcionalidades de interpretación de tipos de datos	Los tipos de datos `"boolean string"`, `"restricted string"`, `"md5"`, `"IP"`, `"sha256"` y `"base64Binary"` se interpretan como series. La aplicación es compatible con la interpretación de la configuración de `Content` para los tipos de datos `int` y `date` cuando se establecen en forma de intervalos: OpenIOC 1.0: Usar el operador `TO` en el campo `Content`: `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: Usar las condiciones `greater-than` y `less-than` Usar el operador `TO` en el campo `Content` La aplicación es compatible con los tipos de datos `date` y `duration` si los indicadores se establecen en formato `ISO 8601, Zulu Time Zone, UTC`.

Inicio de la página