附錄 10。IOC 檔案要求

當建立 IOC 掃描工作時，請考量以下 IOC 檔案要求和限制：

應用程式在用於描述洩露指示器的開放標準 OpenIOC 版本 1.0 和 1.1 中支援具有 IOC 和 XML 延伸程式的 IOC 檔案。
如果用命令行建立 IOC 掃描 工作時上傳 IOC 檔案而其中一些不受支援，當執行工作時，應用程式將僅使用受支援的 IOC 檔案。如果用命令行建立 IOC 掃描工作時您上傳的所有 IOC 檔案不受支援，工作仍然可以被執行，但是將不會偵測任何洩露指示器。無法使用網頁主控台或雲端主控台上傳不受支援的 IOC 檔案。
語義錯誤和不受支援的 IOC 字詞以及 IOC 檔案中的標籤不會引起工作執行失敗。在 IOC 檔案的此類區域中，應用程式會偵測到不符合。
在單個 IOC 掃描工作中使用的所有 IOC 檔案的識別碼必須為唯一。如果有識別碼一樣的 IOC 檔案，它可能會影響工作執行結果。
IOC 檔案識別碼範例：

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
單個 IOC 檔案的大小不得超過 2 MB。使用更大的檔案將引起 IOC 掃描工作以錯誤終止。新增至 IOC 集合的所有檔案的總大小不應該超過 10 MB。如果所有檔案的總大小超過 10 Mb，則需要拆分 IOC 集合並建立多個 IOC 掃描 工作。
建議為每個威脅建立一個 IOC 檔案。這會讓分析IOC 掃描工作的結果更容易。

您可以點擊下面的連接下載該檔案，它包含一個表格，其中有 OpenIOC 標準的 IOC 字詞完整清單。

應用程式對 OpenIOC 標準支援的功能和限制顯示在下表中。

對 OpenIOC 版本 1.0 和 1.1 支援的功能和限制。

受支援條件	OpenIOC 1.0: `is` `isnot` （作為集合中的例外） `contains` `containsnot`（作為集合中的例外） OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
受支援條件屬性	OpenIOC 1.1: `preserve-case` `negate`
受支援運算子	`AND` `OR`
受支援資料類型	`"date"`:日期（適用條件：`is`, `greater-than`, `less-than`） `"int"`:整數（適用條件：`is`, `greater-than`, `less-than`） `"string"`: 字串（適用條件：`is`, `contains`, `matches`, `starts-with`, `ends-with`） `"duration"`:以秒為單位的持續時間（適用條件：`is`, `greater-than`, `less-than`）
資料類型解譯的功能	`"boolean string"`、`"restricted string"`、 `"md5"`、`"IP"`、 `"sha256"` 和 `"base64Binary"` 資料類型被解譯為字串。當 `int` 和 `date` 資料類型的“`Content`”設定以間隔的形式設定時，應用程式支援其解譯： OpenIOC 1.0: 使用“`Content`”欄位中的“`TO`”運算子： `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: 使用“`greater-than`”和“`less-than`”條件使用“`Content`”欄位中的“`TO`”運算子如果指示器設定格式為 `ISO 8601, Zulu Time Zone, UTC`，則應用程式支援”`date`”和”`duration`”資料類型的解譯。

頁面頂部