Apéndice 4. Requisitos de los archivos de IOC
Al crear tareas de análisis de IOC, considere los siguientes requerimientos y limitaciones de los archivos de IOC:
- La aplicación es compatible con archivos IOC con extensiones IOC y XML en el estándar abierto OpenIOC versiones 1.0 y 1.1 para describir indicadores de compromiso.
- Si, al crear una tarea de Análisis de IOC en la línea de comandos, carga archivos de IOC y algunos no son compatibles, la aplicación utiliza solo los archivos de IOC compatibles cuando se ejecuta la tarea. Si, al crear una tarea de Análisis de IOC en la línea de comandos, ninguno de los archivo de IOC que carga resultan ser compatibles, la tarea puede ejecutarse de todos modos. Sin embargo, no detectará ningún indicador de riesgo. No es posible cargar archivos de IOC no compatibles a través de Web Console o Cloud Console.
- Los errores semánticos y los términos y etiquetas de IOC no compatibles en archivos de IOC no hacen que falle la ejecución de la tarea. En dichas secciones de archivos de IOC, la aplicación no detecta una coincidencia.
- Los identificadores de todos los archivos de IOC utilizados en una sola tarea de análisis de IOC deben ser únicos. Si hay archivos de IOC con el mismo identificador, esto puede afectar los resultados de la ejecución de la tarea.
- Un solo archivo de IOC no debe superar los 2 MB de tamaño. Usar archivos más grandes hará que las tareas de análisis de IOC finalicen con un error. El tamaño total de todos los archivos agregados a la colección IOC no debe superar los 10 MB. Si el tamaño total de todos los archivos supera los 10 MB, debe dividir la colección de IOC y crear varias tareas Análisis de IOC.
- Se recomienda crear un archivo de IOC por amenaza. Esto facilita el análisis de los resultados de la tarea de análisis de IOC.
El archivo que puede descargar al hacer clic en el enlace a continuación contiene una tabla con la lista completa de términos de IOC del estándar de OpenIOC.
DESCARGAR EL ARCHIVO IOC_TERMS.XLSX
Las funcionalidades y limitaciones en la compatibilidad de la aplicación con el estándar OpenIOC se enumeran en la siguiente tabla.
Funcionalidades y limitaciones en la compatibilidad con OpenIOC versiones 1.0 y 1.1.
Condiciones compatibles | OpenIOC 1.0:
OpenIOC 1.1:
|
Atributos de la condición compatibles | OpenIOC 1.1:
|
Operadores compatibles |
|
Tipos de datos compatibles |
|
Funcionalidades de interpretación de tipos de datos | Los tipos de datos La aplicación es compatible con la interpretación de la configuración de OpenIOC 1.0: Usar el operador
OpenIOC 1.1: Usar las condiciones Usar el operador La aplicación es compatible con la interpretación de los tipos de datos |