Exigences du fichier IOC
2 juillet 2024
ID 276288
Lors de la création des tâches d’analyse IOC, tenez compte des conditions requises et des restrictions suivantes concernant les fichiers IOC :
- L’application prend en charge les fichiers IOC avec les extensions IOC et XML dans le standard ouvert OpenIOC versions 1.0 et 1.1 pour la description des indicateurs de compromission.
- Si, lors de la création d’une tâche d’analyse IOC sur la ligne de commande, vous chargez des fichiers IOC dont certains ne sont pas pris en charge, l’application n’utilise que les fichiers IOC pris en charge lors de l’exécution de la tâche. Si, lors de la création d’une tâche d’analyse IOC sur la ligne de commande, tous les fichiers IOC que vous chargez s’avèrent non pris en charge, la tâche peut toujours être exécutée, mais elle ne détectera aucun indicateur de compromission. Il n’est pas possible d’importer des fichiers IOC non pris en charge à l’aide de Web Console ou Cloud Console.
- Les erreurs sémantiques et les termes et tags IOC non pris en charge dans les fichiers IOC n’entraînent pas l’échec de l’exécution de la tâche. Dans ces sections des fichiers IOC, l’application ne détecte aucune correspondance.
- Les identificateurs de tous les fichiers IOC utilisés dans une tâche d’analyse IOC doivent être uniques. La présence de fichiers IOC avec le même identificateur peut affecter les résultats d’exécution de la tâche.
- La taille d’un fichier IOC ne doit pas dépasser 2 Mo. L’utilisation de fichiers plus volumineux entraînera l’échec des tâches d’analyse IOC. La taille totale de tous les fichiers ajoutés à la collection IOC ne doit pas dépasser 10 Mo. Si la taille totale de tous les fichiers dépasse 10 Mo, vous devez scinder la collection IOC et créer plusieurs tâches d’analyse IOC.
- Il est recommandé de créer un fichier IOC par menace. Cela facilite l’analyse des résultats de la tâche d’analyse IOC.
Le tableau ci-dessous reprend les caractéristiques et les limitations de la prise en charge de la norme OpenIOC par l’application.
Fonctionnalités et limitations de la prise en charge d’OpenIOC versions 1.0 et 1.1.
Conditions prises en charge | OpenIOC 1.0 :
OpenIOC 1.1 :
|
Attributs de condition pris en charge | OpenIOC 1.1 :
|
Opérateurs pris en charge |
|
Types de données pris en charge |
|
Caractéristiques de l’interprétation du type de données | Les types de données L’application prend en charge l’interprétation du OpenIOC 1.0 : Utilisation de l’opérateur
OpenIOC 1.1 : Utilisation des conditions Utilisation de l’opérateur L’application prend en charge l’interprétation des types de données date et duration si les indicateurs sont définis au |