Soporte

Soporte para empresas

Kaspersky Endpoint Security 12 for Mac

Apéndices

Requisitos del archivo de IOC

Kaspersky Endpoint Security 12 for Mac
Нет результатов
Нет результатов
Ayuda en línea
FAQ Descargar Comprar Renovar Foro Contactar Asistencia Instrumentos de recuperación

Requisitos del archivo de IOC

27 de junio de 2024

ID 276288

Al crear tareas de Análisis de IOC, tenga en cuenta los siguientes requisitos y limitaciones del archivo de IOC:

  • La aplicación admite archivos de IOC con las extensiones IOC y XML en las versiones 1.0 y 1.1 del estándar abierto OpenIOC para describir indicadores de peligro.
  • Si, al momento de crear una tarea de Análisis de IOC en la línea de comandos, carga archivos de IOC, algunos de los cuales no son compatibles, cuando se ejecuta la tarea, la aplicación usa solo los archivos de IOC compatibles. Si, al momento de crear una tarea de análisis de IOC en la línea de comandos, todos los archivos de IOC que carga resultan no compatibles, la tarea aún se puede ejecutar, pero no detectará ningún indicador de peligro. No es posible cargar archivos de IOC no compatibles mediante Web Console o Cloud Console.
  • Los errores semánticos y los términos y etiquetas de IOC no compatibles en los archivos de IOC no provocan un error en la ejecución de la tarea. En dichas secciones de los archivos de IOC, la aplicación no detecta ninguna coincidencia.
  • Los identificadores de todos los archivos de IOC utilizados en una única tarea de análisis de IOC deben ser únicos. Si hay archivos de IOC con el mismo identificador, puede afectar los resultados de la ejecución de la tarea.
  • Un archivo de IOC único no debe tener un tamaño mayor que 2 MB. El uso de archivos más grandes hará que las tareas del análisis de IOC finalicen con un error. El tamaño total de todos los archivos añadidos a la colección de IOC no debe exceder los 10 MB. Si el tamaño total de todos los archivos supera los 10 MB, debe dividir la colección de IOC y crear varias tareas de Análisis de IOC.
  • Se recomienda crear un archivo de IOC por amenaza. Esto facilita el análisis de los resultados de la tarea de Análisis de IOC.

Las características y limitaciones de la compatibilidad de la aplicación con el estándar OpenIOC se muestran en la siguiente tabla.

Características y limitaciones de la compatibilidad con OpenIOC versión 1.0 y 1.1.

Condiciones admitidas

OpenIOC 1.0:

is

isnot (como excepción del conjunto)

contains

containsnot (como excepción del conjunto)

OpenIOC 1.1:

is

contains

starts-with

ends-with

matches

greater-than

less-than

Atributos de condición admitidos

OpenIOC 1.1:

preserve-case

negate

Operadores compatibles

AND

OR

Tipos de datos compatibles

"date": fecha (condiciones aplicables: is, greater-than, less-than)

"int": entero (condiciones aplicables: is, greater-than, less-than)

"string": cadena (condiciones aplicables: is, contains, matches, starts-with, ends-with)

"duration": duración en segundos (condiciones aplicables: is, greater-than, less-than)

Características de la interpretación de tipos de datos

Los tipos de datos "boolean string", "restricted string", "md5", "IP", "sha256", "base64Binary" se interpretan como cadenas.

La aplicación admite la interpretación de la configuración de contenido para los tipos de datos int y date cuando se establece en forma de intervalos:

OpenIOC 1.0:

Usar el operador TO en el campo Contenido:

<Tipo de contenido="int">49600 TO 50700</Contenido>

<Tipo de contenido="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Contenido>

<Tipo de contenido="int">[154192 TO 154192]</Contenido>

OpenIOC 1.1:

Usar las condiciones greater-than y less-than

Usar el operador TO en el campo Contenido

La aplicación admite la interpretación de los tipos de datos date y duration si los indicadores se configuran en ISO 8601, Zulu Time Zone, UTC format.

¿Le ha resultado útil este artículo?
¿Qué podemos mejorar?
¡Gracias por darnos su opinión! Nos está ayudando a mejorar.
¡Gracias por darnos su opinión! Nos está ayudando a mejorar.