부록 11. IOC 파일 요구 사항

IOC 검사 작업 생성 시 다음 IOC 파일 요구 사항 및 제한 사항을 고려하십시오:

아래의 링크를 클릭해 다운로드할 수 있는 파일에는 Kaspersky Endpoint Detection and Response 솔루션이 지원하는 OpenIOC 표준의 전체 IOC 용어 목록이 포함되어 있습니다.

IOC_TERMS.XLSX 파일 다운로드

OpenIOC 표준에 대한 애플리케이션 지원의 기능 및 제한 사항은 다음 표에 나와 있습니다.

OpenIOC 버전 1.0 및 1.1 지원의 기능 및 제한 사항.

지원 조건

OpenIOC 1.0:

is

isnot(세트의 예외)

contains

containsnot(세트의 예외)

OpenIOC 1.1:

is

contains

starts-with

ends-with

matches

greater-than

less-than

지원 조건 속성

OpenIOC 1.1:

preserve-case

negate

지원 연산자

AND

OR

지원 데이터 유형

"date": 날짜(적용 조건: is, greater-than, less-than)

"int": 정수(적용 조건: is, greater-than, less-than)

"string": 스트링(적용 조건: is, contains, matches, starts-with, ends-with)

"duration": 기간(초)(적용 조건: is, greater-than, less-than)

데이터 유형 해석 기능

"boolean string", "restricted string", "md5", "IP", "sha256", "base64Binary" 데이터 유형은 스트링으로 해석됩니다.

이 애플리케이션은 intdate 데이터 유형에 대한 Content 설정이 시간 간격의 형태로 설정되었을 때 이 설정의 해석을 지원합니다:

OpenIOC 1.0:

Content 필드에서 TO 연산자 사용:

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1:

greater-thanless-than 조건 사용

Content 필드에서 TO 연산자 사용

지표가 ISO 8601, Zulu Time Zone, UTC 형식으로 설정되어 있으면 애플리케이션이 dateduration 데이터 유형의 해석을 지원합니다.

맨 위로