Support

Support für Unternehmensanwendungen

Kaspersky Endpoint Security 12 for Mac

Anhänge

Anforderungen an IOC-Dateien

Kaspersky Endpoint Security 12 for Mac
Нет результатов
Нет результатов
Wissensdatenbank Onlinehilfe
FAQ Herunterladen Kaufen Verlängern Forum Support kontaktieren Tools zur Wiederherstellung

Anforderungen an IOC-Dateien

2. Juli 2024

ID 276288

Beachten Sie beim Erstellen von IOC-Untersuchungsaufgaben die folgenden Anforderungen und Einschränkungen für IOC-Dateien:

  • Die Anwendung unterstützt IOC-Dateien mit ioc- und xml-Erweiterungen in den Versionen 1.0 und 1.1 des offenen OpenIOC-Standards zur Beschreibung von Kompromittierungsindikatoren.
  • Wenn Sie beim Erstellen einer IOC-Untersuchungsaufgabe über die Befehlszeile IOC-Dateien hochladen, von denen einige nicht unterstützt werden, verwendet die Anwendung beim Ausführen der Aufgabe nur die unterstützten IOC-Dateien. Wenn sich beim Erstellen einer IOC-Untersuchungsaufgabe über die Befehlszeile herausstellt, dass keine der hochgeladenen IOC-Dateien unterstützt wird, kann die Aufgabe trotzdem ausgeführt werden. in diesem Fall werden jedoch keine Kompromittierungsindikatoren gefunden. Es ist nicht möglich, nicht unterstützte IOC-Dateien über die Web Console oder Cloud Console hochzuladen.
  • Semantische Fehler sowie nicht unterstützte IOC-Ausdrücke und Tags in den IOC-Dateien führen nicht dazu, dass die Ausführung der Aufgabe fehlschlägt. Für solche Abschnitten in den IOC-Dateien erkennt die Anwendung keine Übereinstimmung.
  • Die IDs aller IOC-Dateien, die innerhalb einer IOC-Untersuchungsaufgabe verwendet werden, müssen eindeutig sein. Sollten IOC-Dateien mit derselben ID vorhanden sind, kann sich dies auf die Ergebnisse der Aufgabenausführung auswirken.
  • Eine IOC-Datei darf maximal 2 MB groß sein. Größere Dateien führen zu einem Fehlerabbruch von IOC-Untersuchungsaufgaben. Die Gesamtgröße aller zur IOC-Sammlung hinzugefügten Dateien sollte maximal 10 MB betragen. Wenn die Gesamtgröße aller Dateien 10 MB überschreitet, müssen Sie die IOC-Sammlung aufteilen und mehrere IOC-Untersuchungsaufgaben erstellen.
  • Es wird empfohlen, pro Bedrohung eine IOC-Datei zu erstellen. Dies erleichtert die Ergebnisanalyse der IOC-Untersuchungsaufgabe.

Die folgenden Tabelle zeigt enthält Merkmale und Einschränkungen der Anwendung im Bezug auf die Unterstützung des OpenIOC-Standards.

Merkmale und Einschränkungen in der Unterstützung von OpenIOC Version 1.0 und 1.1.

Unterstützte Bedingungen

OpenIOC 1.0:

is

isnot (als Ausnahme der Menge)

contains

containsnot (als Ausnahme der Menge)

OpenIOC 1.1:

is

contains

starts-with

ends-with

matches

greater-than

less-than

Unterstützte Attribute der Bedingungen

OpenIOC 1.1:

preserve-case

negate

Unterstützte Operatoren

AND

OR

Unterstützte Datentypen

"date": Datum (anwendbare Bedingungen: is, greater-than, less-than)

"int": Integer (anwendbare Bedingungen: is, greater-than, less-than)

"string": String (anwendbare Bedingungen: is, contains, matches, starts-with, ends-with)

"duration": Dauer in Sekunden (anwendbare Bedingungen: is, greater-than, less-than)

Besonderheiten der Datentypinterpretation

Die folgenden Datentypen werden String interpretiert: "boolean string", "restricted string", "md5", "IP", "sha256" und "base64Binary".

Die Anwendung unterstützt die Interpretation von Content setting für die Datentypen int und date, wenn diese in Form von Intervallen angegeben werden:

OpenIOC 1.0:

Verwendung des Operators TO im Feld Content:

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1:

Verwendung der Bedingungen greater-than und less-than

Verwendung des Operators TO im Feld Content

Die Anwendung unterstützt die Interpretation der Datentypen "date" und "duration", wenn die Indikatoren im Format ISO 8601, Zulu Time Zone, UTC format angegeben werden.

Kaspersky Endpoint Security für Mac:
Das optimierte Sicherheitsmanagement mit einer Cloud oder Web-Konsole
Adaptiver Schutz vor hoch entwickelten Cyberbedrohungen. Kaufen Sie diese Lösung als Teil von Kaspersky Endpoint Security for Business Advanced.
Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen
Direkte Telefonleitung für Support, dedizierte technische Experten und längere Erreichbarkeit bei geschäftskritischen Problemen. Wählen Sie einen Plan aus, senden Sie eine Anfrage und aktivieren den MSA-Vertrag.
War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.