附录 11.IOC 文件需求

当创建 IOC 扫描任务时，考虑以下 IOC 文件需求和限制：

Kaspersky Endpoint Detection and Response Optimum 支持开放标准 OpenIOC 版本 1.0 和 1.1 中具有 IOC 和 XML 扩展名的 IOC 文件，用于描述妥协的指标。
如果在 IOC 扫描任务创建期间上传 IOC 文件（其中一些文件不受支持），则当任务运行时，应用程序仅使用受支持的 IOC 文件。
如果在 IOC 扫描任务创建期间仅上传不受支持的 IOC 文件，则该任务仍可运行，但不会检测到任何妥协的指标。
语义错误和 IOC 文件中不支持的 IOC 术语和标记不会导致任务执行失败。在 IOC 文件的这些部分中，应用程序检测不到匹配。
单个 IOC 扫描任务中使用的所有 IOC 文件的标识符必须是唯一的。如果存在具有相同标识符的 IOC 文件，则可能会影响任务执行结果。
IOC 文件标识符示例：

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
单个 IOC 文件的大小不得超过 3 MB。使用较大的文件将导致 IOC 扫描任务因错误而终止。尽管如此，添加到 IOC 集合的所有文件的总大小可能超过 3 MB。
建议为每个威胁创建一个 IOC 文件。这使得分析 IOC 扫描任务的结果更加容易。

您可以通过单击下面的链接下载该文件，该文件包含一个表，其中包含由 Kaspersky Endpoint Detection and Response 解决方案支持的 OpenIOC 标准的 IOC 术语的完整列表。

下表显示了应用程序支持 OpenIOC 标准的特性和限制。

OpenIOC 版本 1.0 和 1.1 的功能和支持限制。

支持条件	OpenIOC 1.0： `is` `isnot`（作为集合中的例外） `contains` `containsnot`（作为集合中的例外） OpenIOC 1.1： `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
支持的条件属性	OpenIOC 1.1： `preserve-case` `negate`
支持的运算符	`AND` `OR`
支持的数据类型	`"date”`：日期（适用条件：`is`、`greater-than`、`less-than`） `"int”`：整数（适用条件：`is`、`greater-than`、`less-than`） `"string”`：字符串（适用条件：`is`、`contains`、`matches`、`starts-with`、`ends-with`） `"duration”`：持续秒数（适用条件：`is、greater-than、less-than`）
数据类型解释的特点	`"boolean string"`、`"restricted string"`、`"md5"`、`"IP"`、`"sha256”` 和 `"base64Binary”`数据类型被解释为字符串。当 `int` 和 `date` 数据类型以间隔形式设置时，应用程序支持对其 `Content` 设置的解释： OpenIOC 1.0：在 `Content` 字段使用 `TO` 运算符： `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1：使用 `greater-than` 和 `less-than` 条件在 `Content` 字段使用 `TO` 运算符如果指示器设置为 `ISO 8601，Zulu 时区，UTC` 格式，则应用程序支持对 `date` 和 `duration` 数据类型的解释。