Anforderungen an IOC-Dateien
2. Juli 2024
ID 276288
Beachten Sie beim Erstellen von IOC-Untersuchungsaufgaben die folgenden Anforderungen und Einschränkungen für IOC-Dateien:
- Die Anwendung unterstützt IOC-Dateien mit ioc- und xml-Erweiterungen in den Versionen 1.0 und 1.1 des offenen OpenIOC-Standards zur Beschreibung von Kompromittierungsindikatoren.
- Wenn Sie beim Erstellen einer IOC-Untersuchungsaufgabe über die Befehlszeile IOC-Dateien hochladen, von denen einige nicht unterstützt werden, verwendet die Anwendung beim Ausführen der Aufgabe nur die unterstützten IOC-Dateien. Wenn sich beim Erstellen einer IOC-Untersuchungsaufgabe über die Befehlszeile herausstellt, dass keine der hochgeladenen IOC-Dateien unterstützt wird, kann die Aufgabe trotzdem ausgeführt werden. in diesem Fall werden jedoch keine Kompromittierungsindikatoren gefunden. Es ist nicht möglich, nicht unterstützte IOC-Dateien über die Web Console oder Cloud Console hochzuladen.
- Semantische Fehler sowie nicht unterstützte IOC-Ausdrücke und Tags in den IOC-Dateien führen nicht dazu, dass die Ausführung der Aufgabe fehlschlägt. Für solche Abschnitten in den IOC-Dateien erkennt die Anwendung keine Übereinstimmung.
- Die IDs aller IOC-Dateien, die innerhalb einer IOC-Untersuchungsaufgabe verwendet werden, müssen eindeutig sein. Sollten IOC-Dateien mit derselben ID vorhanden sind, kann sich dies auf die Ergebnisse der Aufgabenausführung auswirken.
- Eine IOC-Datei darf maximal 2 MB groß sein. Größere Dateien führen zu einem Fehlerabbruch von IOC-Untersuchungsaufgaben. Die Gesamtgröße aller zur IOC-Sammlung hinzugefügten Dateien sollte maximal 10 MB betragen. Wenn die Gesamtgröße aller Dateien 10 MB überschreitet, müssen Sie die IOC-Sammlung aufteilen und mehrere IOC-Untersuchungsaufgaben erstellen.
- Es wird empfohlen, pro Bedrohung eine IOC-Datei zu erstellen. Dies erleichtert die Ergebnisanalyse der IOC-Untersuchungsaufgabe.
Die folgenden Tabelle zeigt enthält Merkmale und Einschränkungen der Anwendung im Bezug auf die Unterstützung des OpenIOC-Standards.
Merkmale und Einschränkungen in der Unterstützung von OpenIOC Version 1.0 und 1.1.
Unterstützte Bedingungen | OpenIOC 1.0:
OpenIOC 1.1:
|
Unterstützte Attribute der Bedingungen | OpenIOC 1.1:
|
Unterstützte Operatoren |
|
Unterstützte Datentypen |
|
Besonderheiten der Datentypinterpretation | Die folgenden Datentypen werden String interpretiert: Die Anwendung unterstützt die Interpretation von OpenIOC 1.0: Verwendung des Operators
OpenIOC 1.1: Verwendung der Bedingungen Verwendung des Operators Die Anwendung unterstützt die Interpretation der Datentypen "date" und "duration", wenn die Indikatoren im Format |