補足資料 4:IOC ファイルの要件
IOC スキャンタスクを作成する際は、次の IOC ファイルの要件および制限を考慮してください:
- 本製品は侵害インジケーターの記述に OpenIOC のバージョン 1.0 および 1.1 の IOC および XML が含まれる IOC ファイルをサポートしています。
- コマンドラインで IOC スキャンタスクの作成中にサポートされない IOC ファイルをアップロードした場合、本製品はタスクが実行されたときにサポートされる IOC ファイルのみを使用します。コマンドラインで IOC スキャン タスクの作成中、すべてのアップロードされた IOC ファイルがサポートされないファイルだった場合は、タスクは実行されますが侵害インジケーターは検知されません。Web コンソールまたは Cloud コンソールを使用してサポートされない IOC ファイルをアップロードすることはできません。
- IOC ファイルの構文エラーおよびサポートされない IOC タームおよびタグがあってもタスクの実行は失敗しません。IOC ファイルのこのようなセクションでは、本製品は一致なしとして判断します。
- 単一の IOC スキャンタスクで使用されるすべての IOC ファイルの識別子は一意である必要があります。同じ識別子を持つ IOC ファイルが存在した場合、タスクの実行結果に影響を与えることがあります。
- 単一の IOC ファイルのサイズは 2 MB を超えることはできません。サイズの大きいファイルを使用すると IOC スキャンタスクはエラーで終了します。IOC コレクションに追加されるすべてのファイルの合計サイズが 10MB を超えることはできません。すべてのファイルの合計サイズが 10 MB を超える場合は、IOC コレクションを分割して複数の IOC スキャンタスクを作成する必要があります。
- 脅威ごとに 1 つの IOC ファイルを作成することを推奨します。IOC スキャンタスクの結果の解析がしやすくなるためです。
以下のリンクをクリックしてダウンロードできるファイルには、すべての OpenIOC 標準の IOC タームの一覧が含まれています。
こちらのリンクから IOC_TERMS.XLSX ファイルをダウンロードできます
本製品の OpenIOC 標準をサポートする機能および制限を次の表に示します。
OpenIOC バージョン 1.0 および 1.1 をサポートする機能および制限
サポートされる条件 |
OpenIOC 1.0:
OpenIOC 1.1:
|
サポートされる条件の属性値 |
OpenIOC 1.1:
|
サポートされる演算子 |
|
サポートされるデータ種別 |
|
データ種別の解釈機能 |
本製品はインターバルのフォームに設定されている場合は OpenIOC 1.0:
OpenIOC 1.1: 条件
|