الملحق رقم 10. متطلبات ملف IOC

عند إنشاء مهام فحص IOC، ضع في اعتبارك متطلبات وقيود ملف IOC التالية:

يدعم التطبيق ملفات IOC بامتدادات IOC وXML في إصدارات OpenIOC القياسية المفتوحة 1.0 و1.1 لوصف مؤشرات الاختراق.
إذا قمت أثناء إنشاء مهمة فحص IOC في سطر الأوامر بتحميل ملفات IOC (مؤشر الاختراق) بعضها غير مدعوم، فعند تشغيل المهمة، لا يستخدم التطبيق سوى ملفات IOC المدعومة. إذا اتضح أثناء إنشاء مهمة فحص IOC في سطر الأوامر أن جميع ملفات فحص الاختراق التي قمت بتحميلها غير مدعومة، فمن الممكن مواصلة تشغيل المهمة، لكنها لن تكتشف أي مؤشرات للاختراق. ولا يمكن تحميل ملفات IOC غير المدعومة باستخدام Web Console أو Cloud Console.‏
لا تتسبب الأخطاء الدلالية وشروط وعلامات IOC غير المدعومة في ملفات IOC في فشل تنفيذ المهمة. وفي هذه الأقسام من ملفات IOC، يكتشف التطبيق عدم وجود تطابق.
يجب أن تكون معرفات كل ملفات IOC المستخدمة في مهمة فحص IOC معرفات فريدة. وإذا كانت هناك ملفات IOC بالمعرف نفسه، فقد تؤثر على نتائج تنفيذ المهمة.
مثال على معرّف ملف IOC:‏

‎<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" ‎id="43e6a866-4f85-4ce2-a369-eabf786ba711"‎ last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">‎
يجب ألا يتجاوز حجم ملف IOC واحد 2 ميجا بايت. وسيؤدي استخدام ملفات أكبر إلى إيقاف مهام فحص IOC بخطأ. ويجب ألا يتجاوز الحجم الإجمالي لجميع الملفات المضافة إلى مجموعة مؤشر الاختراق 10 ميجا بايت. وإذا تجاوز الحجم الإجمالي لجميع الملفات 10 ميجا بايت، فستحتاج إلى تقسيم مجموعة مؤشر الاختراق وإنشاء مهام فحص IOC عديدة.
يوصى بإنشاء ملف IOC واحد لكل تهديد. ويسهل هذا تحليل نتائج مهمة فحص IOC.‏

يحتوي الملف الذي يمكنك تنزيله بالنقر فوق الارتباط أدناه على جدول يحتوي على قائمة كاملة بشروط IOC لمعيار OpenIOC.‏

يوضح الجدول التالي ميزات وقيود دعم التطبيق لمعيار OpenIOC.‏

ميزات وقيود دعم OpenIOC الإصدارين 1.0 و1.1.

الشروط المدعومة	OpenIOC 1.0: ‎`is`‎ ‎`isnot`‎ (كاستثناء من المجموعة) ‎`contains`‎ ‎`containsnot`‎ (كاستثناء من المجموعة) OpenIOC 1.1: ‎`is`‎ ‎`contains`‎ ‎`starts-with`‎ ‎`ends-with`‎ ‎`matches`‎ ‎`greater-than`‎ ‎`less-than`‎
سمات الشروط المدعومة	OpenIOC 1.1: ‎`preserve-case`‎ ‎`negate`‎
المشغلون المدعومون	‎`AND`‎ ‎`OR`‎
أنواع البيانات المدعومة	‎`"date"`‎: التاريخ (الشروط القابلة للتطبيق: ‎`is`‎، ‎`greater-than`‎، ‎`less-than`‎)‏ ‎`"int"`‎: عدد صحيح (الشروط القابلة للتطبيق: ‎`is`‎، ‎`greater-than`‎، ‎`less-than`‎)‏ ‎`"string"`‎: السلسلة (الشروط القابلة للتطبيق: ‎`is`‎، ‎`contains`‎، ‎`matches`‎، ‎`starts-with`‎، ‎`ends-with`‎)‏ ‎`"duration"`‎: المدة بالثواني (الشروط المطبقة: ‎`is`‎, ‎`greater-than`‎, ‎`less-than`‎)‏
ميزات تفسير نوع البيانات	تُفسر أنواع البيانات ‎`"boolean string"`‎ و‎`"restricted string"`‎ و‎`"md5"`‎ و‎`"IP"`‎ و‎`"sha256"`‎ و‎`"base64Binary"`‎ كسلسلة. يدعم التطبيق تفسير إعداد ‎`Content`‎ لنوعي البيانات ‎`int`‎ و‎`date`‎ عند تعيينهما في شكل فترات زمنية: OpenIOC 1.0: استخدام المشغل ‎`TO`‎ في الحقل ‎`Content`‎ :‏ ‎`<Content type="int">49600 TO 50700</Content>`‎ ‎`<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>`‎ ‎`<Content type="int">[154192 TO 154192]</Content>`‎ OpenIOC 1.1: استخدام شرطي ‎`greater-than`‎ و‎`less-than`‎ استخدام المشغل ‎`TO`‎ في الحقل ‎`Content`‎ يدعم التطبيق تفسير نوعي البيانات ‎`date`‎ و‎`duration`‎ في حالة تعيين المؤشرات بتنسيق ‎`ISO 8601, Zulu time zone, UTC`‎.‏

أعلى الصفحة