Anhang 11. Anforderungen für IOC-Dateien
Beachten Sie bei der Erstellung von IOC-Untersuchungsaufgaben die folgenden Anforderungen und Beschränkungen für IOC-Dateien:
- Für die Beschreibung von Kompromittierungsindikatoren unterstützt Kaspersky Endpoint Detection and Response Optimum IOC-Dateien mit den Erweiterungen „ioc“ und „xml“ im offenen Standard OpenIOC Version 1.0 und 1.1.
- Falls Sie während der Erstellung der IOC-Untersuchungsaufgabe IOC-Dateien hochladen, von denen einige nicht unterstützt werden, so verwendet das Programm bei der Ausführung der Aufgabe nur die unterstützten IOC-Dateien.
- Falls Sie während der Erstellung der IOC-Untersuchungsaufgabe nur nicht unterstützte IOC-Dateien hochladen, kann die Aufgabe zwar ausgeführt werden, es werden aber keine Kompromittierungsindikatoren erkannt.
- Semantische Fehler und nicht unterstützte IOC-Ausdrücke und Tags führen nicht zu einem Fehlschlagen der Aufgabe. In solchen Fällen findet das Programm in den entsprechenden Abschnitten der IOC-Datei lediglich keine Übereinstimmung.
- Die Identifikatoren aller IOC-Dateien, die in einer einzelnen IOC-Untersuchungsaufgabe verwendet werden, müssen eindeutig sein. Das Vorhandensein von IOC-Dateien mit dem gleichen Identifikator kann sich auf die Ergebnisse der Aufgabenausführung auswirken.
- Eine einzelne IOC-Datei darf nicht größer sein als 3 MB. Die Verwendung größerer Dateien führt dazu, dass IOC-Untersuchungsaufgaben mit einem Fehler abgebrochen werden. Allerdings darf die Gesamtgröße aller zur IOC-Sammlung hinzugefügten Dateien 3 MB überschreiten.
- Es wird empfohlen, eine IOC-Datei pro Bedrohung zu erstellen. Das vereinfacht die Analyse der Ergebnisse der IOC-Untersuchungsaufgabe.
Die Datei, die Sie über den untenstehenden Link herunterladen können, enthält eine Tabelle mit einer vollständigen Liste der IOC-Begriffe des OpenIOC-Standards, die von der Lösung Kaspersky Endpoint Detection and Response unterstützt werden.
DATEI IOC_TERMS.XLSX HERUNTERLADEN
Die folgende Tabelle enthält die Merkmale und Beschränkungen der Unterstützung des OpenIOC-Standards durch das Programm.
Merkmale und Beschränkungen der Unterstützung für OpenIOC Version 1.0 und 1.1.
Unterstützte Bedingungen | OpenIOC 1.0:
OpenIOC 1.1:
|
Unterstützte Attribute von Bedingungen | OpenIOC 1.1:
|
Unterstützte Operatoren |
|
Unterstützte Datentypen |
|
Merkmale der Interpretation von Datentypen | Die Datentypen Das Programm unterstützt die Einstellung OpenIOC 1.0: Verwendung des Operators
OpenIOC 1.1: Verwendung der Bedingungen Verwendung des Operators Das Programm unterstützt die Interpretation der Datentypen |