附录 11.IOC 文件需求

当创建 IOC 扫描任务时,考虑以下 IOC 文件需求和限制:

您可以通过单击下面的链接下载该文件,该文件包含一个表,其中包含由 Kaspersky Endpoint Detection and Response 解决方案支持的 OpenIOC 标准的 IOC 术语的完整列表。

下载 IOC_TERMS.XLSX 文件

下表显示了应用程序支持 OpenIOC 标准的特性和限制。

OpenIOC 版本 1.0 和 1.1 的功能和支持限制。

支持条件

OpenIOC 1.0:

is

isnot(作为集合中的例外)

contains

containsnot(作为集合中的例外)

OpenIOC 1.1:

is

contains

starts-with

ends-with

matches

greater-than

less-than

支持的条件属性

OpenIOC 1.1:

preserve-case

negate

支持的运算符

AND

OR

支持的数据类型

"date”:日期(适用条件:isgreater-thanless-than

"int”:整数(适用条件:isgreater-thanless-than

"string”:字符串(适用条件:iscontainsmatchesstarts-withends-with

"duration”:持续秒数(适用条件:is、greater-than、less-than

数据类型解释的特点

"boolean string""restricted string""md5""IP""sha256”"base64Binary”数据类型被解释为字符串。

intdate 数据类型以间隔形式设置时,应用程序支持对其 Content 设置的解释:

OpenIOC 1.0:

Content 字段使用 TO 运算符:

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1:

使用 greater-thanless-than 条件

Content 字段使用 TO 运算符

如果指示器设置为 ISO 8601,Zulu 时区,UTC 格式,则应用程序支持对 dateduration 数据类型的解释。

页面顶部