補足資料 11:IOC ファイルの要件
IOC スキャンタスクを作成する際は、次の IOC ファイルの要件および制限を考慮してください:
- Kaspersky Endpoint Detection and Response Optimum は侵害インジケーターの記述に OpenIOC のバージョン 1.0 および 1.1 の IOC および XML が含まれる IOC ファイルをサポートしています。
- IOC スキャンタスクの作成中にサポートされない IOC ファイルをアップロードした場合、本製品はタスクが実行されたときにサポートされる IOC ファイルのみを使用します。
- IOC スキャンタスクの作成中にサポートされない IOC ファイルのみをアップロードした場合、タスクは実行されますが侵害インジケーターは検出されません。
- IOC ファイルの構文エラーおよびサポートされない IOC タームおよびタグがあってもタスクの実行は失敗しません。IOC ファイルのこのようなセクションでは、本製品は一致なしとして判断します。
- 単一の IOC スキャンタスクで使用されるすべての IOC ファイルの識別子は一意である必要があります。同じ識別子を持つ IOC ファイルが存在した場合、タスクの実行結果に影響を与えることがあります。
- 単一の IOC ファイルのサイズは 3 MB を超えることはできません。サイズの大きいファイルを使用すると IOC スキャンタスクはエラーで終了します。IOC コレクションに追加されるすべてのファイルの合計サイズが 3MB を超えても問題ありません。
- 脅威ごとに 1 つの IOC ファイルを作成することを推奨します。IOC スキャンタスクの結果の解析がしやすくなるためです。
以下のリンクをクリックすることでダウンロードできるファイルには、Kaspersky Endpoint Detection and Response がサポートするすべての OpenIOC 標準の IOC タームの一覧が含まれています。
こちらのリンクから IOC_TERMS.XLSX ファイルをダウンロードできます
本製品の OpenIOC 標準をサポートする機能および制限を次の表に示します。
OpenIOC バージョン 1.0 および 1.1 をサポートする機能および制限
サポートされる条件 |
OpenIOC 1.0:
OpenIOC 1.1:
|
サポートされる条件の属性値 |
OpenIOC 1.1:
|
サポートされる演算子 |
|
サポートされるデータ種別 |
|
データ種別の解釈機能 |
本製品はインターバルのフォームに設定されている場合は OpenIOC 1.0:
OpenIOC 1.1: 条件
|