Soporte

Soporte para empresas

Kaspersky Endpoint Security 11 para Windows

Apéndices

Apéndice 11. Requisitos de los archivos de IOC

Kaspersky Endpoint Security 11 para Windows
Нет результатов
Нет результатов
Ayuda en línea
FAQ Requisitos del sistema Descargar Comprar Renovar Foro Contactar Asistencia Instrumentos de recuperación Videos del producto

Apéndice 11. Requisitos de los archivos de IOC

20 de julio de 2023

ID 220828

Guardar como PDF

Al crear tareas de análisis de IOC, considere los siguientes requerimientos y limitaciones de los archivos de IOC:

  • Kaspersky Endpoint Detection and Response Optimum es compatible con archivos IOC con extensiones IOC y XML en el estándar abierto OpenIOC versiones 1.0 y 1.1 para describir indicadores de compromiso.
  • Si se cargan archivos de IOC (algunos de los cuales no son compatibles) durante la creación de la tarea de análisis de IOC, la aplicación utiliza solo los archivos de IOC compatibles cuando se ejecuta la tarea.
  • Si solo se cargan archivos de IOC no compatibles durante la tarea de análisis de IOC, la tarea de análisis puede llevarse a cabo, pero no se detectarán indicadores de compromiso.
  • Los errores semánticos y los términos y etiquetas de IOC no compatibles en archivos de IOC no hacen que falle la ejecución de la tarea. En dichas secciones de archivos de IOC, la aplicación no detecta una coincidencia.
  • Los identificadores de todos los archivos de IOC utilizados en una sola tarea de análisis de IOC deben ser únicos. Si hay archivos de IOC con el mismo identificador, esto puede afectar los resultados de la ejecución de la tarea.
  • Un solo archivo de IOC no debe superar los 3 MB de tamaño. Usar archivos más grandes hará que las tareas de análisis de IOC finalicen con un error. Dicho esto, el tamaño total de todos los archivos agregados a la colección IOC puede superar los 3 MB.
  • Se recomienda crear un archivo de IOC por amenaza. Esto facilita el análisis de los resultados de la tarea de análisis de IOC.

El archivo que puede descargar al hacer clic en el enlace a continuación contiene una tabla con la lista completa de términos de IOC del estándar de OpenIOC, compatibles con la solución Kaspersky Endpoint Detection and Response.

DESCARGAR EL ARCHIVO IOC_TERMS.XLSX

Las funcionalidades y limitaciones en la compatibilidad de la aplicación con el estándar OpenIOC se enumeran en la siguiente tabla.

Funcionalidades y limitaciones en la compatibilidad con OpenIOC versiones 1.0 y 1.1.

Condiciones compatibles

OpenIOC 1.0:

is

isnot (como una excepción del grupo)

contains

containsnot (como una excepción del grupo)

OpenIOC 1.1:

is

contains

starts-with

ends-with

matches

greater-than

less-than

Atributos de la condición compatibles

OpenIOC 1.1:

preserve-case

negate

Operadores compatibles

AND

OR

Tipos de datos compatibles

"date": fecha (condiciones aplicables: is, greater-than, less-than)

"int": ´número entero (condiciones aplicables is, greater-than, less-than)

"string": serie (condiciones aplicables: is, contains, matches, starts-with, ends-with)

"duration": duración en segundos (condiciones aplicables: is, greater-than, less-than)

Funcionalidades de interpretación de tipos de datos

Los tipos de datos "boolean string", "restricted string", "md5", "IP", "sha256" y "base64Binary" se interpretan como series.

La aplicación es compatible con la interpretación de la configuración de Content para los tipos de datos int y date cuando se establecen en forma de intervalos:

OpenIOC 1.0:

Usar el operador TO en el campo Content:

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1:

Usar las condiciones greater-than y less-than

Usar el operador TO en el campo Content

La aplicación es compatible con la interpretación de los tipos de datos date y duration siempre que los indicadores estén configurados en formato ISO 8601, Zulu Time Zone, UTC.

¿Le ha resultado útil este artículo?
¿Qué podemos mejorar?
¡Gracias por darnos su opinión! Nos está ayudando a mejorar.
¡Gracias por darnos su opinión! Nos está ayudando a mejorar.