Annexe 10. Exigences relatives aux fichiers IOC

14 février 2024

ID 220828

Lorsque vous créez des tâches d'analyse IOC, tenez compte des exigences et des limites suivantes relatives aux fichiers IOC :

  • L'application prend en charge les fichiers IOC avec les extensions XML du standard ouvert OpenIOC versions 1.0 et 1.1 pour la description des indicateurs de compromission.
  • Si, lors de la création d'une tâche d'Analyse IOC à partir de la ligne de commande, vous chargez des fichiers IOC, dont certains ne sont pas pris en charge lorsque la tâche est exécutée, l'application utilise uniquement les fichiers IOC pris en charge. Si, lors de la création d'une tâche d'analyse IOC à partir de la ligne de commande, tous les fichiers IOC que vous chargez ne sont pas pris en charge, la tâche peut quand même être exécutée, mais elle ne détectera aucun indicateur de compromission. Il n'est pas possible de téléverser des fichiers IOC non pris en charge à l'aide de Web Console ou de Cloud Console.
  • Les erreurs sémantiques et les termes IOC et les balises non pris en charge dans les fichiers IOC ne font pas échouer l'exécution de la tâche. Dans ces sections des fichiers IOC, l'application ne détecte aucune correspondance.
  • Les identifiants de tous les fichiers IOC utilisés dans une même tâche d'analyse IOC Scan doivent être uniques. S'il y a des fichiers IOC avec le même identifiant, cela peut affecter les résultats de l'exécution de la tâche.
  • Un seul fichier IOC ne doit pas dépasser 2 Mo. L'utilisation de fichiers plus volumineux entraînera la fin des tâches d'analyse IOC avec une erreur. Cela dit, la taille totale de tous les fichiers ajoutés à la collection IOC peut dépasser 2 Mo.
  • Il est recommandé de créer un fichier IOC par menace. Cela facilite l'analyse des résultats de la tâche d'analyse IOC.

Le fichier que vous pouvez télécharger via le lien ci-dessous contient une table reprenant la liste complète des termes IOC de la norme OpenIOC.

TÉLÉCHARGER LE FICHIER IOC_TERMS.XLSX

Les fonctionnalités et les limites de la prise en charge de l'application pour le standard OpenIOC sont présentées dans le tableau suivant.

Fonctionnalités et limites de la prise en charge pour OpenIOC 1.0 et 1.1.

Conditions prises en charge

OpenIOC 1.0 :

is

isnot (comme exception à l'ensemble)

contains

containsnot (comme exception à l'ensemble)

OpenIOC 1.1 :

is

contains

starts-with

ends-with

matches

greater-than

less-than

Attributs de condition pris en charge

OpenIOC 1.1 :

preserve-case

negate

Opérateurs pris en charge

AND

OR

Types de données pris en charge

"date" : date (conditions applicables : is, greater-than, less-than)

"int" : entier (conditions applicables : is, greater-than, less-than)

"string" : chaîne (conditions applicables : is, contains, matches, starts-with, ends-with)

"duration" : durée en secondes (conditions applicables : is, greater-than, less-than)

Caractéristiques de l'interprétation des types de données

Les types de données "boolean string", "restricted string", "md5", "IP", "sha256" et "base64Binary" sont interprétés comme des chaînes.

L'application prend en charge l'interprétation du paramètre Contenu pour les types de données int et date lorsqu'il est défini sous forme d'intervalles :

OpenIOC 1.0 :

Utilisation de l'opérateur TO dans le champ Contenu :

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1 :

Utilisation des conditions greater-than et less-than

Utilisation de l'opérateur TO dans le champ Contenu

L'application prend en charge l'interprétation des types de données date et duration si les indicateurs sont définis au format ISO 8601, Zulu Time Zone, UTC.

Cet article vous a-t-il été utile ?
Que pouvons-nous améliorer ?
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.
Merci de nous faire part de vos commentaires. Vous nous aidez à nous améliorer.