Příloha 4. Požadavky na soubor IOC

Při vytváření úloh Kontrola IOC mějte na paměti tyto požadavky na soubory IOC a omezení:

Aplikace podporuje soubory IOC s příponami IOC a XML v otevřeném standardu OpenIOC verze 1.0 a 1.1.
Pokud při vytváření úlohy Kontrola IOC na příkazovém řádku nahrajete soubory IOC, z nichž některé nejsou podporovány, aplikace při provádění úlohy použije pouze ty podporované. Pokud se při vytváření úlohy Kontrola IOC na příkazovém řádku ukáže, že jsou všechny nahrávané soubory IOC nepodporované, úlohu lze i tak spustit, ale nezjistí žádné indikátory narušení. Nepodporované soubory IOC nelze nahrávat pomocí webové konzoly ani cloudové konzoly.
Sémantické chyby a nepodporované výrazy a značky IOC v souborech IOC nezpůsobí chybu provádění úlohy. V těchto částech souborů IOC aplikace nezjistí žádnou shodu.
Identifikátory všech souborů IOC používaných v jedné úloze Kontrola IOC musí být jedinečné. Pokud neexistují žádné soubory IOC se stejným identifikátorem, může to mít vliv na výsledky provádění úlohy.
Příklad identifikátoru souboru IOC:

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
Velikost jednoho souboru IOC nesmí překročit 2 MB. Používání větších souborů povede k tomu, že úloha Kontrola IOC skončí chybou. Celková velikost všech souborů přidávaných do kolekce IOC by neměla být vyšší než 10 MB. Pokud celková velikost všech souborů přesáhne 10 MB, musíte kolekci IOC rozdělit a vytvořit několik úloh Kontrola IOC.
Doporučujeme vytvářet jeden soubor IOC na hrozbu. Díky tomu je jednodušší analýza výsledků úlohy Kontrola IOC.

Soubor, který si můžete stáhnout kliknutím na níže uvedený odkaz, obsahuje tabulku s úplným seznamem podmínek IOC standardu OpenIOC.

STAŽENÍ SOUBORU IOC_TERMS.TXT

Funkce a omezení podpory aplikace pro standard OpenIOC jsou uvedeny v následující tabulce.

Funkce a omezení podpory pro OpenIOC verze 1.0 a 1.1.

Podporované podmínky	OpenIOC 1.0: `is` `isnot` (jako výjimka ze sady) `contains` `containsnot` (jako výjimka za sady) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Podporované atributy podmínky	OpenIOC 1.1: `preserve-case` `negate`
Podporované operátory	`AND` `OR`
Podporované datové typy	`"date"`: datum (lze použít podmínky: `is`, `greater-than`, `less-than`) `"int"`: celé číslo (lze použít podmínky: `is`, `greater-than`, `less-than`) `"string"`: řetězec (lze použít podmínky: `is`, `contains`, `matches`, `starts-with`, `ends-with`) `"duration"`: doba trvání v sekundách (lze použít podmínky: `is, greater-than, less-than`)
Funkce interpretace datového typu	Datové typy `"boolean string"`, `"restricted string"`, `"md5"`, `"IP"`, `"sha256"` and `"base64Binary"` jsou interpretovány jako řetězec. Aplikace podporuje interpretaci nastavení `Content` u datových typů `int` a `date`, pokud je nastaveno v podobě intervalů: OpenIOC 1.0: Používání operátoru `TO` v poli `Content`: `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: Používání podmínek `greater-than` a `less-than` Používání operátoru `TO` v poli `Content` Aplikace podporuje interpretaci datových typů `date` a `duration`, pokud jsou indikátory nastaveny ve formátu `ISO 8601, Zulu Time Zone, UTC`.

Začátek stránky