Exigences pour les fichiers IOC

Lors de la création de tâches d'analyse IOC, tenez compte des exigences et limitations suivantes associées aux fichiers IOC :

L'application prend en charge les fichiers IOC avec l'extension IOC et XML du standard ouvert pour décrire les indicateurs de compromission OpenIOC versions 1.0 et 1.1.
Les erreurs sémantiques et les termes et tags IOC non pris en charge dans les fichiers IOC ne provoquent pas d'erreurs d'exécution de la tâche. Dans ces sections des fichiers IOC, l'application enregistre l'absence de concordance.
Les identifiants de tous les fichiers IOC utilisés dans une seule tâche d'analyse IOC doivent être uniques. La présence de fichiers IOC avec les mêmes identifiants peut affecter l'exactitude des résultats de l'exécution des tâches.
Exemple de l'identifiant du fichier IOC :

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
Il est recommandé de créer un fichier IOC pour chaque menace. Cela facilite la lecture des résultats de la tâche Analyse IOC.

Le fichier, qui peut être téléchargé à partir du lien ci-dessous, contient un tableau avec une liste complète des termes IOC de la norme OpenIOC.

TÉLÉCHARGER LE FICHIER IOC TERMS.XLSX

Les fonctionnalités et limitations de la prise en charge des applications pour la norme OpenIOC sont présentées dans le tableau ci-dessous.

Fonctionnalités et limitations de la prise en charge des versions 1.0 et 1.1 du standard OpenIOC.

Conditions prises en charge	OpenIOC 1.0 : `is` `isnot` (à titre d'exclusion parmi les nombreux) `contains` `containsnot` (à titre d'exclusion parmi les nombreux) OpenIOC 1.1 : `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Attributs des conditions prises en charge	OpenIOC 1.1 : `preserve-case` `negate`
Opérateurs pris en charge	`AND` `OR`
Types de données pris en charge	`"date"` : date (conditions applicables : `is`, `greater-than`, `less-than`) `"int"` : nombre entier (conditions applicables : `is`, `greater-than`, `less-than`) `"string"` : ligne (conditions applicables : `is`, `contains`, `matches`, `starts-with`, `ends-with`) `"duration"` : durée en secondes (conditions applicables : `is`, `greater-than`, `less-than`)
Caractéristiques de l'interprétation des types de données	Les types de données `"boolean string"`, `"restricted string"`, `"md5"`, `"IP"`, `"sha256"`, `"base64Binary"` sont interprétés comme une ligne (string). L'application prend en charge l'interprétation du paramètre `Content` pour les types de données `int` et `date`, spécifiés sous forme d'intervalles : OpenIOC 1.0 : Utilisation de l'opérateur `TO` dans le champ `Content` : `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1 : Utilisation de conditions `greater-than` et `less-than` Utilisation de l'opérateur `TO` dans le champ `Content` L'application prend en charge l'interprétation des types de données `date` et `duration` si les indicateurs sont spécifiés au format `ISO 8601, Zulu time zone, UTC`.

Haut de page