Support

Solutions pour les entreprises

Kaspersky Endpoint Security 12 for Linux

Intégration avec les solutions Detection and Response

Intégration avec Kaspersky Endpoint Detection and Response Optimum

Exigences pour les fichiers IOC

Kaspersky Endpoint Security 12 for Linux
Нет результатов
Нет результатов
Base de connaissances Aide en ligne
Foire aux questions Télécharger Acheter Renouveler Forum Contacter le support Outils de désinfection

Exigences pour les fichiers IOC

2 juillet 2024

ID 273888

Enregistrer au format PDF

Lors de la création de tâches d'analyse IOC, tenez compte des exigences et limitations suivantes associées aux fichiers IOC :

  • L'application prend en charge les fichiers IOC avec l'extension IOC et XML du standard ouvert pour décrire les indicateurs de compromission OpenIOC versions 1.0 et 1.1.
  • Les erreurs sémantiques et les termes et tags IOC non pris en charge dans les fichiers IOC ne provoquent pas d'erreurs d'exécution de la tâche. Dans ces sections des fichiers IOC, l'application enregistre l'absence de concordance.
  • Les identifiants de tous les fichiers IOC utilisés dans une seule tâche d'analyse IOC doivent être uniques. La présence de fichiers IOC avec les mêmes identifiants peut affecter l'exactitude des résultats de l'exécution des tâches.
  • Il est recommandé de créer un fichier IOC pour chaque menace. Cela facilite la lecture des résultats de la tâche Analyse IOC.

Le fichier, qui peut être téléchargé à partir du lien ci-dessous, contient un tableau avec une liste complète des termes IOC de la norme OpenIOC.

CHARGER LE FICHIER IOC_TERMS.XLSX

Les fonctionnalités et limitations de la prise en charge des applications pour la norme OpenIOC sont présentées dans le tableau ci-dessous.

Fonctionnalités et limitations de la prise en charge des versions 1.0 et 1.1 du standard OpenIOC.

Conditions prises en charge

OpenIOC 1.0 :

  • is
  • isnot (à titre d'exclusion parmi les nombreux)
  • contains
  • containsnot (à titre d'exclusion parmi les nombreux)

     

    OpenIOC 1.1 :

  • is
  • contains
  • starts-with
  • ends-with
  • matches
  • greater-than
  • less-than

Attributs des conditions prises en charge

OpenIOC 1.1:

  • preserve-case
  • negate

Opérateurs pris en charge

AND

OR

Types de données pris en charge

"date" : date (conditions applicables : is, greater-than, less-than)

"int" : nombre entier (conditions applicables : is, greater-than, less-than)

"string" : ligne (conditions applicables : is, contains, matches, starts-with, ends-with)

"duration" : durée en secondes (conditions applicables : is, greater-than, less-than)

Caractéristiques de l'interprétation des types de données

Les types de données "boolean string", "restricted string", "md5", "IP", "sha256", "base64Binary" sont interprétés comme une ligne (string).

L'application prend en charge l'interprétation du paramètre Content pour les types de données int et date, spécifiés sous forme d'intervalles :

  • OpenIOC 1.0:

    Utilisation de l'opérateur TO dans le champ Content :

    <Content type="int">49600 TO 50700</Content>

    <Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

    <Content type="int">[154192 TO 154192]</Content>

  • OpenIOC 1.1:
    • Utilisation de conditions greater-than и less-than
    • Utilisation de l'opérateur TO dans le champ Content

    L'application prend en charge l'interprétation des types de données date et duration si les indicateurs sont spécifiés au format ISO 8601, Zulu time zone, UTC.

Kaspersky Endpoint Security for Linux : protection fiable, pour un impact minimal sur les performances
Protection multi-niveaux de nouvelle génération contre tout type de cybermenaces. Achetez avec Endpoint Security for Business Advanced.
Services d'assistance haut de gamme : traitement prioritaire des incidents
Assistance téléphonique ou portail internet. Réaction rapide. Surveillance et verification. Sélectionnez un programme, déposez une demande et activez votre contrat.
Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.