부록 11. IOC 파일 요구 사항
IOC 검사 작업 생성 시 다음 IOC 파일 요구 사항 및 제한 사항을 고려하십시오:
- Kaspersky Endpoint Detection and Response Optimum은 침해지표 표시에 대해 개방형 표준 OpenIOC 버전 1.0 및 1.1에서 IOC 및 XML 확장자의 IOC 파일을 지원합니다.
- IOC 검사 작업 생성 시 업로드한 IOC 파일 중 지원하지 않는 파일이 있으면, 작업 실행 시 애플리케이션이 지원하는 IOC 파일만을 사용합니다.
- IOC 검사 작업 생성 시 업로드한 IOC 파일 중 지원하는 파일이 없으면, 작업은 실행되지만 침해지표가 탐지되지 않습니다.
- IOC 파일에서 의미 오류나 지원하지 않은 IOC 용어 및 태그가 있어도 작업 실행이 실패하지는 않습니다. 이러한 IOC 파일 섹션에서는 애플리케이션이 아무것도 탐지하지 않습니다.
- 단일 IOC 검사 작업에 사용된 모든 IOC 파일의 ID는 고유해야 합니다. ID가 같은 IOC 파일이 있다면 작업 실행 결과에 영향을 미칠 수 있습니다.
- 단일 IOC 파일의 크기는 3MB를 넘지 않아야 합니다. 더 큰 파일을 사용하면 IOC 검사 작업 시 오류가 발생할 수 있습니다. 즉 IOC 콜렉션에 추가한 모든 파일의 총 크기는 3MB를 초과할 수도 있습니다.
- 보안위협 하나당 IOC 파일 하나를 생성할 것을 권장합니다. 이를 통해 IOC 검사 작업 결과를 더 쉽게 분석할 수 있습니다.
아래의 링크를 클릭해 다운로드할 수 있는 파일에는 Kaspersky Endpoint Detection and Response 솔루션이 지원하는 OpenIOC 표준의 전체 IOC 용어 목록이 포함되어 있습니다.
OpenIOC 표준에 대한 애플리케이션 지원의 기능 및 제한 사항은 다음 표에 나와 있습니다.
OpenIOC 버전 1.0 및 1.1 지원의 기능 및 제한 사항.
지원 조건 |
OpenIOC 1.0:
OpenIOC 1.1:
|
지원 조건 속성 |
OpenIOC 1.1:
|
지원 연산자 |
|
지원 데이터 유형 |
|
데이터 유형 해석 기능 |
이 애플리케이션은 OpenIOC 1.0:
OpenIOC 1.1:
지표가 |