Annexe 10. Exigences relatives aux fichiers IOC
Lorsque vous créez des tâches d'analyse IOC, tenez compte des exigences et des limites suivantes relatives aux fichiers IOC :
- L'application prend en charge les fichiers IOC avec les extensions XML du standard ouvert OpenIOC versions 1.0 et 1.1 pour la description des indicateurs de compromission.
- Si, lors de la création d'une tâche d'Analyse IOC à partir de la ligne de commande, vous chargez des fichiers IOC, dont certains ne sont pas pris en charge lorsque la tâche est exécutée, l'application utilise uniquement les fichiers IOC pris en charge. Si, lors de la création d'une tâche d'analyse IOC à partir de la ligne de commande, tous les fichiers IOC que vous chargez ne sont pas pris en charge, la tâche peut quand même être exécutée, mais elle ne détectera aucun indicateur de compromission. Il n'est pas possible de téléverser des fichiers IOC non pris en charge à l'aide de Web Console ou de Cloud Console.
- Les erreurs sémantiques et les termes IOC et les balises non pris en charge dans les fichiers IOC ne font pas échouer l'exécution de la tâche. Dans ces sections des fichiers IOC, l'application ne détecte aucune correspondance.
- Les identifiants de tous les fichiers IOC utilisés dans une même tâche d'analyse IOC Scan doivent être uniques. S'il y a des fichiers IOC avec le même identifiant, cela peut affecter les résultats de l'exécution de la tâche.
- Un seul fichier IOC ne doit pas dépasser 2 Mo. L'utilisation de fichiers plus volumineux entraînera la fin des tâches d'analyse IOC avec une erreur. La taille totale de tous les fichiers ajoutés à la collection IOC ne doit pas dépasser 10 Mo. Si la taille totale de tous les fichiers dépasse 10 Mo, vous devez scinder la collection IOC et créer plusieurs tâches Analyse IOC.
- Il est recommandé de créer un fichier IOC par menace. Cela facilite l'analyse des résultats de la tâche d'analyse IOC.
Le fichier que vous pouvez télécharger via le lien ci-dessous contient une table reprenant la liste complète des termes IOC de la norme OpenIOC.
TÉLÉCHARGER LE FICHIER IOC_TERMS.XLSX
Les fonctionnalités et les limites de la prise en charge de l'application pour le standard OpenIOC sont présentées dans le tableau suivant.
Fonctionnalités et limites de la prise en charge pour OpenIOC 1.0 et 1.1.
Conditions prises en charge | OpenIOC 1.0 :
OpenIOC 1.1 :
|
Attributs de condition pris en charge | OpenIOC 1.1 :
|
Opérateurs pris en charge |
|
Types de données pris en charge |
|
Caractéristiques de l'interprétation des types de données | Les types de données L'application prend en charge l'interprétation du paramètre OpenIOC 1.0 : Utilisation de l'opérateur
OpenIOC 1.1 : Utilisation des conditions Utilisation de l'opérateur L'application prend en charge l'interprétation des types de données |