附錄 11。IOC 檔案要求

當建立 IOC 掃描工作時,請考量以下 IOC 檔案要求和限制:

您可以點擊下面的連接下載該檔案,它包含一個表格,其中有受 Kaspersky Endpoint Detection and Response 解決方案支援的 OpenIOC 標準的 IOC 字詞完整清單。

下載 IOC_TERMS.XLSX 檔案

應用程式對 OpenIOC 標準支援的功能和限制顯示在下表中。

對 OpenIOC 版本 1.0 和 1.1 支援的功能和限制。

受支援條件

OpenIOC 1.0:

不是 (作為集合中的例外)

包含

不包含(作為集合中的例外)

OpenIOC 1.1:

包含

始於

終於

符合

大於

小於

受支援條件屬性

OpenIOC 1.1:

保留大小寫

否定

受支援運算子

AND(“與”)

OR(“或”)

受支援資料類型

"date":日期(適用條件:大於小於

“int":整數(適用條件:大於小於

"string": 字串(適用條件:包含符合始於終於

"duration":以秒為單位的持續時間(適用條件:是,大於,小於

資料類型解譯的功能

"boolean 字串"”受限字串""md5""IP""sha256""base64Binary” 資料類型被解譯為字串。

intdate 資料類型的“內容”設定以間隔的形式設定時,應用程式支援其解譯:

OpenIOC 1.0:

使用“內容”欄位中的“TO”運算子:

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1:

使用“大於”和“小於”條件

使用“內容”欄位中的“TO”運算子

如果指示器設定格式為 ISO 8601, Zulu Time Zone, UTC,則應用程式支援“date”和“duration”資料類型的解譯。

頁面頂部