Dodatek 11. Wymagania pliku IOC

Podczas tworzenia zadań Skanowanie IOC rozważ następujące ograniczenia i wymagania pliku IOC:

Plik, który możesz pobrać, klikając poniższy odnośnik, zawiera tabelę z pełną listą warunków IOC standardu OpenIOC, który jest obsługiwany przez rozwiązanie Kaspersky Endpoint Detection and Response.

POBIERZ PLIK IOC_TERMS.XLSX

Funkcje i ograniczenia obsługi aplikacji dla standardu OpenIOC są wyświetlone w poniższej tabeli.

Funkcje i ograniczenia obsługi OpenIOC w wersji 1.0 i 1.1.

Obsługiwane warunki

OpenIOC 1.0:

is

isnot (jako wyjątek z zestawu)

contains

containsnot (jako wyjątek z zestawu)

OpenIOC 1.1:

is

contains

starts-with

ends-with

matches

greater-than

less-than

Obsługiwane atrybuty warunku

OpenIOC 1.1:

preserve-case

negate

Obsługiwane operatory

ORAZ

LUB

Obsługiwane typy danych

"date": data (stosowane warunki: is, greater-than, less-than)

"int": liczba całkowita (stosowane warunki: is, greater-than, less-than)

"string": ciąg znaków (stosowane warunki: is, contains, matches, starts-with, ends-with)

"duration": czas trwania w sekundach (stosowane warunki: is, greater-than, less-than)

Funkcje interpretacji typu danych

Typy danych "boolean string", "restricted string", "md5", "IP", "sha256" i "base64Binary" są interpretowane jako ciąg znaków.

Aplikacja obsługuje interpretację ustawienia Zawartość dla typów danych int i date, gdy jest ona ustawiona w postaci przedziałów czasu:

OpenIOC 1.0:

Przy użyciu operatora DO w polu Zawartość:

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1:

Przy użyciu warunków greater-than i less-than

Przy użyciu operatora DO w polu Zawartość

Aplikacja obsługuje interpretację typów danych date i duration, jeśli wskaźniki są ustawione w formacie ISO 8601, Zulu Time Zone, UTC.

Przejdź do góry