부록 11. IOC 파일 요구 사항
IOC 검사 작업 생성 시 다음 IOC 파일 요구 사항 및 제한 사항을 고려하십시오:
- Kaspersky Endpoint Detection and Response Optimum은 침해지표 표시에 대해 개방형 표준 OpenIOC 버전 1.0 및 1.1에서 IOC 및 XML 확장자의 IOC 파일을 지원합니다.
- IOC 검사 작업 생성 시 업로드한 IOC 파일 중 지원하지 않는 파일이 있으면, 작업 실행 시 애플리케이션이 지원하는 IOC 파일만을 사용합니다.
- IOC 검사 작업 생성 시 업로드한 IOC 파일 중 지원하는 파일이 없으면, 작업은 실행되지만 침해지표가 탐지되지 않습니다.
- IOC 파일에서 의미 오류나 지원하지 않은 IOC 용어 및 태그가 있어도 작업 실행이 실패하지는 않습니다. 이러한 IOC 파일 섹션에서는 애플리케이션이 아무것도 탐지하지 않습니다.
- 단일 IOC 검사 작업에 사용된 모든 IOC 파일의 ID는 고유해야 합니다. ID가 같은 IOC 파일이 있다면 작업 실행 결과에 영향을 미칠 수 있습니다.
- 단일 IOC 파일의 크기는 3MB를 넘지 않아야 합니다. 더 큰 파일을 사용하면 IOC 검사 작업 시 오류가 발생할 수 있습니다. 즉 IOC 콜렉션에 추가한 모든 파일의 총 크기는 3MB를 초과할 수도 있습니다.
- 보안위협 하나당 IOC 파일 하나를 생성할 것을 권장합니다. 이를 통해 IOC 검사 작업 결과를 더 쉽게 분석할 수 있습니다.
아래의 링크를 클릭해 다운로드할 수 있는 파일에는 Kaspersky Endpoint Detection and Response 솔루션이 지원하는 OpenIOC 표준의 전체 IOC 용어 목록이 포함되어 있습니다.
IOC_TERMS.XLSX 파일 다운로드
OpenIOC 표준에 대한 애플리케이션 지원의 기능 및 제한 사항은 다음 표에 나와 있습니다.
OpenIOC 버전 1.0 및 1.1 지원의 기능 및 제한 사항.
지원 조건
|
OpenIOC 1.0:
is
isnot (세트의 예외)
contains
containsnot (세트의 예외)
OpenIOC 1.1:
is
contains
starts-with
ends-with
matches
greater-than
less-than
|
지원 조건 속성
|
OpenIOC 1.1:
preserve-case
negate
|
지원 연산자
|
AND
OR
|
지원 데이터 유형
|
"date" : 날짜(적용 조건: is , greater-than , less-than )
"int" : 정수(적용 조건: is , greater-than , less-than )
"string" : 스트링(적용 조건: is , contains , matches , starts-with , ends-with )
"duration" : 기간(초)(적용 조건: is, greater-than, less-than )
|
데이터 유형 해석 기능
|
"boolean string" , "restricted string" , "md5" , "IP" , "sha256" , "base64Binary" 데이터 유형은 스트링으로 해석됩니다.
이 애플리케이션은 int 및 date 데이터 유형에 대한 Content 설정이 시간 간격의 형태로 설정되었을 때 이 설정의 해석을 지원합니다:
OpenIOC 1.0:
Content 필드에서 TO 연산자 사용:
<Content type="int">49600 TO 50700</Content>
<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>
<Content type="int">[154192 TO 154192]</Content>
OpenIOC 1.1:
greater-than 및 less-than 조건 사용
Content 필드에서 TO 연산자 사용
지표가 ISO 8601, Zulu Time Zone, UTC 형식으로 설정되어 있으면 애플리케이션이 date 및 duration 데이터 유형의 해석을 지원합니다.
|
맨 위로