Kaspersky Endpoint Security 12 für Windows

Anhang 10. Anforderungen für IOC-Dateien

14. Februar 2024

ID 220828

Beachten Sie bei der Erstellung von IOC-Untersuchungsaufgaben die folgenden Anforderungen und Beschränkungen für IOC-Dateien:

  • Für die Beschreibung von Kompromittierungsindikatoren unterstützt das Programm IOC-Dateien mit den IOC- und XML-Erweiterungen im offenen OpenIOC-Standard Version 1.0 und 1.1.
  • Wenn Sie über die Befehlszeile eine Aufgabe des Typs IOC-Untersuchung erstellen und dabei IOC-Dateien hochladen, von denen einige nicht unterstützt werden, verwendet das Programm bei der Ausführung der Aufgabe nur die unterstützten IOC-Dateien. Wenn Sie über die Befehlszeile eine Aufgabe zur IOC-Untersuchung erstellen und alle dabei hochgeladenen IOC-Dateien nicht unterstützt werden, kann die Aufgabe zwar ausgeführt werden, es werden jedoch keine Kompromittierungsindikatoren erkannt. Das Hochladen von nicht unterstützten IOC-Dateien über „Web Console“ oder „Cloud Console“ ist nicht möglich.
  • Semantische Fehler und nicht unterstützte IOC-Ausdrücke und Tags führen nicht zu einem Fehlschlagen der Aufgabe. In solchen Fällen findet das Programm in den entsprechenden Abschnitten der IOC-Datei lediglich keine Übereinstimmung.
  • Die Identifikatoren aller IOC-Dateien, die in einer einzelnen IOC-Untersuchungsaufgabe verwendet werden, müssen eindeutig sein. Das Vorhandensein von IOC-Dateien mit dem gleichen Identifikator kann sich auf die Ergebnisse der Aufgabenausführung auswirken.
  • Eine einzelne IOC-Datei darf nicht größer sein als 2 MB. Die Verwendung größerer Dateien führt dazu, dass IOC-Untersuchungsaufgaben mit einem Fehler abgebrochen werden. Allerdings darf die Gesamtgröße aller zur IOC-Sammlung hinzugefügten Dateien 2 MB überschreiten.
  • Es wird empfohlen, eine IOC-Datei pro Bedrohung zu erstellen. Das vereinfacht die Analyse der Ergebnisse der IOC-Untersuchungsaufgabe.

Die Datei, die Sie über den unten stehenden Link herunterladen können, enthält eine Tabelle mit einer vollständigen Liste der IOC-Bedingungen gemäß OpenIOC-Standard.

DATEI IOC_TERMS.XLSX HERUNTERLADEN

Die folgende Tabelle enthält die Merkmale und Beschränkungen der Unterstützung des OpenIOC-Standards durch das Programm.

Merkmale und Beschränkungen der Unterstützung für OpenIOC Version 1.0 und 1.1.

Unterstützte Bedingungen

OpenIOC 1.0:

is

isnot (als Ausnahme vom Set)

contains

containsnot (als Ausnahme vom Set)

OpenIOC 1.1:

is

contains

starts-with

ends-with

matches

greater-than

less-than

Unterstützte Attribute von Bedingungen

OpenIOC 1.1:

preserve-case

negate

Unterstützte Operatoren

AND

OR

Unterstützte Datentypen

"date": Datum (zulässige Bedingungen: is, greater-than, less-than)

"int": Integer (zulässige Bedingungen: is, greater-than, less-than)

"string": String (zulässige Bedingungen: is, contains, matches, starts-with, ends-with)

"duration": Dauer in Sekunden (zulässige Bedingungen: is, greater-than, less-than)

Merkmale der Interpretation von Datentypen

Die Datentypen "boolean string", "restricted string", "md5", "IP", "sha256" und "base64Binary" werden als String interpretiert.

Das Programm unterstützt die Einstellung Content für die Datentypen int und date, wenn diese in Intervallform angegeben ist:

OpenIOC 1.0:

Verwendung des Operators TO im Feld Content:

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1:

Verwendung der Bedingungen greater-than und less-than

Verwendung des Operators TO im Feld Content

Das Programm unterstützt die Interpretation der Datentypen date und duration, wenn die Indikatoren im Format ISO 8601, Zulu Time Zone, UTC angegeben sind.

War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.