Appendice 10. Requisiti del file IOC

Quando si creano attività Scansione IOC, è necessario tenere conto dei seguenti requisiti e limitazioni dei file IOC:

Il file che è possibile scaricare facendo clic sul collegamento sottostante contiene una tabella con l'elenco completo dei termini IOC dello standard OpenIOC.

DOWNLOAD DEL FILE IOC_TERMS.XLSX

Le funzionalità e le limitazioni del supporto dell'applicazione dello standard OpenIOC sono mostrate nella seguente tabella.

Funzionalità e limitazioni del supporto di OpenIOC versioni 1.0 e 1.1.

Condizioni supportate

OpenIOC 1.0:

is

isnot (come eccezione dal set)

contains

containsnot (come eccezione dal set)

OpenIOC 1.1:

is

contains

starts-with

ends-with

matches

greater-than

less-than

Attributi di condizioni supportate

OpenIOC 1.1:

preserve-case

negate

Operatori supportati

AND

OR

Tipi di dati supportati

"date": data (condizioni applicabili: is, greater-than, less-than)

"int": numero intero (condizioni applicabili: is, greater-than, less-than)

"string": stringa (condizioni applicabili: is, contains, matches, starts-with, ends-with)

"duration": durata in secondi (condizioni applicabili: is, greater-than, less-than)

Funzionalità dell'interpretazione dei tipi di dati

I tipi di dati "boolean string", "restricted string", "md5", "IP", "sha256" e "base64Binary" sono interpretati come stringa.

L'applicazione supporta l'interpretazione dell'impostazione Content per i tipi di dati int e date quando è impostata in formato di intervalli:

OpenIOC 1.0:

Utilizzo dell'operatore TO nel campo Content:

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1:

Utilizzo delle condizioni greater-than e less-than

Utilizzo dell'operatore TO nel campo Content:

L'applicazione supporta l'interpretazione dei tipi di dati date e duration se gli indicatori sono impostati nel formato ISO 8601, Zulu time zone, UTC.

Inizio pagina