附錄 11。IOC 檔案要求

當建立 IOC 掃描工作時，請考量以下 IOC 檔案要求和限制：

Kaspersky Endpoint Detection and Response Optimum 在用於描述侵入指示器的開放標準 OpenIOC 版本 1.0 和 1.1 中支援具有 IOC 和 XML 延伸程式的 IOC 檔案。
如果在 IOC 掃描工作建立期間上傳 IOC 檔案而其中一些不受支援，當執行工作時，應用程式將僅使用受支援的 IOC 檔案。
如果在 IOC 掃描工作建立期間僅上傳不受支援的 IOC 檔案，工作仍然會被執行，但是將不會偵測侵入指示。
語義錯誤和不受支援的 IOC 字詞以及 IOC 檔案中的標籤不會引起工作執行失敗。在 IOC 檔案的此類區域中，應用程式會偵測到不符合。
在單個 IOC 掃描工作中使用的所有 IOC 檔案的識別碼必須為唯一。如果有識別碼一樣的 IOC 檔案，它可能會影響工作執行結果。
IOC 檔案識別碼範例：

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
單個 IOC 檔案的大小不得超過 3 MB。使用更大的檔案將引起 IOC 掃描工作以錯誤終止。雖然如此，新增至 IOC 集合的所有檔案的總大小可以超過 3 MB。
建議為每個威脅建立一個 IOC 檔案。這會讓分析 IOC 掃描工作的結果更容易。

您可以點擊下面的連接下載該檔案，它包含一個表格，其中有受 Kaspersky Endpoint Detection and Response 解決方案支援的 OpenIOC 標準的 IOC 字詞完整清單。

應用程式對 OpenIOC 標準支援的功能和限制顯示在下表中。

對 OpenIOC 版本 1.0 和 1.1 支援的功能和限制。

受支援條件	OpenIOC 1.0: `是` `不是` （作為集合中的例外） `包含` `不包含`（作為集合中的例外） OpenIOC 1.1: `是` `包含` `始於` `終於` `符合` `大於` `小於`
受支援條件屬性	OpenIOC 1.1: `保留大小寫` `否定`
受支援運算子	`AND（“與”）` `OR（“或”）`
受支援資料類型	`"date"`:日期（適用條件：`是`，`大於`，`小於`） `“int"`:整數（適用條件：`是`，`大於`，`小於`） `"string"`: 字串（適用條件：`是`，`包含`，`符合`，`始於`，`終於`） `"duration"`:以秒為單位的持續時間（適用條件：`是，大於，小於`）
資料類型解譯的功能	`"boolean 字串"`、`”受限字串"`、 `"md5"`、`"IP"`、 `"sha256"` 和 `"base64Binary”` 資料類型被解譯為字串。當 `int` 和 `date` 資料類型的“`內容`”設定以間隔的形式設定時，應用程式支援其解譯： OpenIOC 1.0: 使用“`內容`”欄位中的“`TO`”運算子： `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: 使用“`大於`”和“`小於`”條件使用“`內容`”欄位中的“`TO`”運算子如果指示器設定格式為 `ISO 8601, Zulu Time Zone, UTC`，則應用程式支援“`date`”和“`duration`”資料類型的解譯。