عند إنشاء مهام فحص IOC، ضع في اعتبارك متطلبات وقيود ملف IOC التالية:
ملف يحتوي على مجموعة من مؤشرات الاختراق (IOCs) التي يحاول التطبيق مطابقتها لحساب الاكتشاف. ويمكن أن تكون احتمالية الاكتشاف أعلى في حالة العثور على تطابقات تامة مع ملفات IOC متعددة للكائن نتيجة الفحص.
يدعم التطبيق ملفات IOC بامتدادات IOC وXML في إصدارات OpenIOC القياسية المفتوحة 1.0 و1.1 لوصف مؤشرات الاختراق.
إذا قمت أثناء إنشاء مهمة فحص IOC في سطر الأوامر بتحميل ملفات IOC (مؤشر الاختراق) بعضها غير مدعوم، فعند تشغيل المهمة، لا يستخدم التطبيق سوى ملفات IOC المدعومة. إذا اتضح أثناء إنشاء مهمة فحص IOC في سطر الأوامر أن جميع ملفات IOC التي قمت بتحميلها غير مدعومة، فمن الممكن مواصلة تشغيل المهمة، لكنها لن تكتشف أي مؤشرات على الاختراق. ولا يمكن تحميل ملفات IOC غير المدعومة باستخدام Web Console أو Cloud Console.
لا تتسبب الأخطاء الدلالية وشروط وعلامات IOC غير المدعومة في ملفات IOC في فشل تنفيذ المهمة. وفي هذه الأقسام من ملفات IOC، يكتشف التطبيق عدم وجود تطابق.
يجب أن تكون معرفات كل ملفات IOC المستخدمة في مهمة فحص IOC معرفات فريدة. وإذا كانت هناك ملفات IOC بالمعرف نفسه، فقد تؤثر على نتائج تنفيذ المهمة.
يجب ألا يتجاوز حجم ملف IOC واحد 2 ميجا بايت. وسيؤدي استخدام ملفات أكبر إلى إيقاف مهام فحص IOC بخطأ. ويجب ألا يتجاوز الحجم الإجمالي لجميع الملفات المضافة إلى مجموعة مؤشر الاختراق 10 ميجا بايت. وإذا تجاوز الحجم الإجمالي لجميع الملفات 10 ميجا بايت، فستحتاج إلى تقسيم مجموعة مؤشر الاختراق وإنشاء مهام IOC Scan عديدة.
يوصى بإنشاء ملف IOC واحد لكل تهديد. ويسهل هذا تحليل نتائج مهمة فحص IOC.
يحتوي الملف الذي يمكنك تنزيله بالنقر فوق الارتباط أدناه على جدول يحتوي على قائمة كاملة بشروط IOC لمعيار OpenIOC.