Support

Support für Unternehmensanwendungen

Kaspersky Endpoint Security 11 für Windows

Anhänge

Anhang 11. Anforderungen für IOC-Dateien

Kaspersky Endpoint Security 11 für Windows
Нет результатов
Нет результатов
Wissensdatenbank Onlinehilfe
FAQ Systemvoraussetzungen Herunterladen Kaufen Verlängern Forum Support kontaktieren Tools zur Wiederherstellung Produktvideos

Anhang 11. Anforderungen für IOC-Dateien

20. Juli 2023

ID 220828

Als PDF speichern

Beachten Sie bei der Erstellung von IOC-Untersuchungsaufgaben die folgenden Anforderungen und Beschränkungen für IOC-Dateien:

  • Für die Beschreibung von Kompromittierungsindikatoren unterstützt Kaspersky Endpoint Detection and Response Optimum IOC-Dateien mit den Erweiterungen „ioc“ und „xml“ im offenen Standard OpenIOC Version 1.0 und 1.1.
  • Falls Sie während der Erstellung der IOC-Untersuchungsaufgabe IOC-Dateien hochladen, von denen einige nicht unterstützt werden, so verwendet das Programm bei der Ausführung der Aufgabe nur die unterstützten IOC-Dateien.
  • Falls Sie während der Erstellung der IOC-Untersuchungsaufgabe nur nicht unterstützte IOC-Dateien hochladen, kann die Aufgabe zwar ausgeführt werden, es werden aber keine Kompromittierungsindikatoren erkannt.
  • Semantische Fehler und nicht unterstützte IOC-Ausdrücke und Tags führen nicht zu einem Fehlschlagen der Aufgabe. In solchen Fällen findet das Programm in den entsprechenden Abschnitten der IOC-Datei lediglich keine Übereinstimmung.
  • Die Identifikatoren aller IOC-Dateien, die in einer einzelnen IOC-Untersuchungsaufgabe verwendet werden, müssen eindeutig sein. Das Vorhandensein von IOC-Dateien mit dem gleichen Identifikator kann sich auf die Ergebnisse der Aufgabenausführung auswirken.
  • Eine einzelne IOC-Datei darf nicht größer sein als 3 MB. Die Verwendung größerer Dateien führt dazu, dass IOC-Untersuchungsaufgaben mit einem Fehler abgebrochen werden. Allerdings darf die Gesamtgröße aller zur IOC-Sammlung hinzugefügten Dateien 3 MB überschreiten.
  • Es wird empfohlen, eine IOC-Datei pro Bedrohung zu erstellen. Das vereinfacht die Analyse der Ergebnisse der IOC-Untersuchungsaufgabe.

Die Datei, die Sie über den untenstehenden Link herunterladen können, enthält eine Tabelle mit einer vollständigen Liste der IOC-Begriffe des OpenIOC-Standards, die von der Lösung Kaspersky Endpoint Detection and Response unterstützt werden.

DATEI IOC_TERMS.XLSX HERUNTERLADEN

Die folgende Tabelle enthält die Merkmale und Beschränkungen der Unterstützung des OpenIOC-Standards durch das Programm.

Merkmale und Beschränkungen der Unterstützung für OpenIOC Version 1.0 und 1.1.

Unterstützte Bedingungen

OpenIOC 1.0:

is

isnot (als Ausnahme vom Set)

contains

containsnot (als Ausnahme vom Set)

OpenIOC 1.1:

is

contains

starts-with

ends-with

matches

greater-than

less-than

Unterstützte Attribute von Bedingungen

OpenIOC 1.1:

preserve-case

negate

Unterstützte Operatoren

UND

ODER

Unterstützte Datentypen

"date": Datum (zulässige Bedingungen: is, greater-than, less-than)

"int": Integer (zulässige Bedingungen: is, greater-than, less-than)

"string": String (zulässige Bedingungen: is, contains, matches, starts-with, ends-with)

"duration": Dauer in Sekunden (zulässige Bedingungen: is, greater-than, less-than)

Merkmale der Interpretation von Datentypen

Die Datentypen "boolean string", "restricted string", "md5", "IP", "sha256" und "base64Binary" werden als String interpretiert.

Das Programm unterstützt die Einstellung Content für die Datentypen int und date, wenn diese in Intervallform angegeben ist:

OpenIOC 1.0:

Verwendung des Operators TO im Feld Content:

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1:

Verwendung der Bedingungen greater-than und less-than

Verwendung des Operators TO im Feld Content

Das Programm unterstützt die Interpretation der Datentypen date und duration, wenn die Indikatoren im Format ISO 8601, Zulu Time Zone, UTC angegeben sind.

Kaspersky Endpoint Security für Windows:
Erkennung von hoch entwickelten Cyberbedrohungen
Schützt jeden Endpoint ohne hohe Kosten. Optimiert das zentralisierte Sicherheitsmanagement mit einer Cloud oder Web-Konsole. Kaufen Sie diese Lösung als Teil von Kaspersky Endpoint Security for Business Advanced.
Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen
Direkte Telefonleitung für Support, dedizierte technische Experten und längere Erreichbarkeit bei geschäftskritischen Problemen. Wählen Sie einen Plan aus, senden Sie eine Anfrage und aktivieren den MSA-Vertrag.
War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.