Support

Solutions pour les entreprises

Kaspersky Endpoint Security 12 for Mac

Annexes

Exigences du fichier IOC

Kaspersky Endpoint Security 12 for Mac
Нет результатов
Нет результатов
Base de connaissances Aide en ligne
Foire aux questions Télécharger Acheter Renouveler Forum Contacter le support Outils de désinfection

Exigences du fichier IOC

2 juillet 2024

ID 276288

Lors de la création des tâches d’analyse IOC, tenez compte des conditions requises et des restrictions suivantes concernant les fichiers IOC :

  • L’application prend en charge les fichiers IOC avec les extensions IOC et XML dans le standard ouvert OpenIOC versions 1.0 et 1.1 pour la description des indicateurs de compromission.
  • Si, lors de la création d’une tâche d’analyse IOC sur la ligne de commande, vous chargez des fichiers IOC dont certains ne sont pas pris en charge, l’application n’utilise que les fichiers IOC pris en charge lors de l’exécution de la tâche. Si, lors de la création d’une tâche d’analyse IOC sur la ligne de commande, tous les fichiers IOC que vous chargez s’avèrent non pris en charge, la tâche peut toujours être exécutée, mais elle ne détectera aucun indicateur de compromission. Il n’est pas possible d’importer des fichiers IOC non pris en charge à l’aide de Web Console ou Cloud Console.
  • Les erreurs sémantiques et les termes et tags IOC non pris en charge dans les fichiers IOC n’entraînent pas l’échec de l’exécution de la tâche. Dans ces sections des fichiers IOC, l’application ne détecte aucune correspondance.
  • Les identificateurs de tous les fichiers IOC utilisés dans une tâche d’analyse IOC doivent être uniques. La présence de fichiers IOC avec le même identificateur peut affecter les résultats d’exécution de la tâche.
  • La taille d’un fichier IOC ne doit pas dépasser 2 Mo. L’utilisation de fichiers plus volumineux entraînera l’échec des tâches d’analyse IOC. La taille totale de tous les fichiers ajoutés à la collection IOC ne doit pas dépasser 10 Mo. Si la taille totale de tous les fichiers dépasse 10 Mo, vous devez scinder la collection IOC et créer plusieurs tâches d’analyse IOC.
  • Il est recommandé de créer un fichier IOC par menace. Cela facilite l’analyse des résultats de la tâche d’analyse IOC.

Le tableau ci-dessous reprend les caractéristiques et les limitations de la prise en charge de la norme OpenIOC par l’application.

Fonctionnalités et limitations de la prise en charge d’OpenIOC versions 1.0 et 1.1.

Conditions prises en charge

OpenIOC 1.0 :

is

isnot (en tant qu’exception de l’ensemble)

contains

containsnot (en tant qu’exception de l’ensemble)

OpenIOC 1.1 :

is

contains

starts-with

ends-with

matches

greater-than

less-than

Attributs de condition pris en charge

OpenIOC 1.1 :

preserve-case

negate

Opérateurs pris en charge

AND

OR

Types de données pris en charge

"date" : date (conditions applicables : is, greater-than, less-than)

"int" : entier (conditions applicables : is, greater-than, less-than)

"string" : chaîne (conditions applicables : is, contains, matches, starts-with, ends-with)

"duration" : durée en secondes (conditions applicables : is, greater-than, less-than)

Caractéristiques de l’interprétation du type de données

Les types de données "boolean string", "restricted string", "md5", "IP", "sha256", "base64Binary" sont interprétés comme une chaîne.

L’application prend en charge l’interprétation du Content setting pour les types de données int et date lorsqu’il est défini sous la forme d’intervalles :

OpenIOC 1.0 :

Utilisation de l’opérateur TO dans le champ Content :

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1 :

Utilisation des conditions greater-than et less-than

Utilisation de l’opérateur TO dans le champ Content

L’application prend en charge l’interprétation des types de données date et duration si les indicateurs sont définis au ISO 8601, Zulu Time Zone, UTC format.

Kaspersky Endpoint Security for Mac: protection contre les dernières menaces, sans impact sur les performances, ni la mobilité.
Protection de vos données et de la continuité de vos processus métier. Achetez avec Endpoint Security for Business Advanced.
Services d'assistance haut de gamme : traitement prioritaire des incidents
Assistance téléphonique ou portail internet. Réaction rapide. Surveillance et verification. Sélectionnez un programme, déposez une demande et activez votre contrat.
Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.