Apéndice 4. Requisitos de archivos de IOC

Al crear tareas de Análisis de IOC, tenga en cuenta los siguientes requisitos y limitaciones de los archivos de IOC:

La aplicación es compatible con archivos de IOC con extensiones IOC y XML en las versiones 1.0 y 1.1 del estándar abierto OpenIOC para describir indicadores de compromiso.
Si al crear una tarea de Análisis de IOC en la línea de comandos, carga archivos de IOC y algunos de ellos no son compatibles, la aplicación utiliza solo los archivos de IOC compatibles cuando se ejecuta la tarea. Si al crear una tarea de Análisis de IOC en la línea de comandos, todos los archivos de IOC que carga resultan no ser compatibles, la tarea puede ejecutarse de todos modos. Sin embargo, no detectará ningún indicador de riesgo. No es posible cargar archivos de IOC no compatibles con Web Console ni Cloud Console.
Los errores semánticos y los términos y etiquetas de IOC no compatibles en archivos de IOC no hacen que falle la ejecución de la tarea. En dichas secciones de archivos de IOC, la aplicación no detecta una coincidencia.
Los identificadores de todos los archivos de IOC utilizados en una sola tarea de análisis de IOC deben ser únicos. Si hay archivos de IOC con el mismo identificador, esto puede afectar los resultados de la ejecución de la tarea.
Ejemplo de un identificador de archivos de IOC:

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
Un solo archivo de IOC no debe superar los 2 MB de tamaño. Usar archivos más grandes hará que las tareas de análisis de IOC finalicen con un error. El tamaño total de todos archivos agregados a la colección IOC no debe superar los 10 MB. Si el tamaño total de todos los archivos supera los 10 MB, debe dividir la colección IOC y crear varias tareas de Análisis de IOC.
Se recomienda crear un archivo de IOC por amenaza. Esto facilita el análisis de los resultados de la tarea de análisis de IOC.

El archivo que puede descargar haciendo clic en el siguiente vínculo, contiene una tabla con la lista completa de términos IOC del estándar OpenIOC.

DESCARGAR EL ARCHIVO IOC_TERMS.XLSX

Las funcionalidades y limitaciones en la compatibilidad de la aplicación con el estándar OpenIOC se enumeran en la siguiente tabla.

Funcionalidades y limitaciones en la compatibilidad con OpenIOC versiones 1.0 y 1.1.

Condiciones compatibles	OpenIOC 1.0: `is` `isnot` (como una excepción del grupo) `contains` `containsnot` (como una excepción del grupo) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Atributos de la condición compatible	OpenIOC 1.1: `preserve-case` `negate`
Operadores compatibles	`AND` `OR`
Tipos de datos compatibles	`"date"`: fecha (condiciones aplicables: `is`, `greater-than`, `less-than`) `"int"`: número entero (condiciones aplicables: `is`, `greater-than`, `less-than`) `"string"`: serie (condiciones aplicables: `is`, `contains`, `matches`, `starts-with`, `ends-with`) `"duration"`: duración en segundos (condiciones aplicables: `is, greater-than, less-than`)
Funcionalidades de interpretación de tipos de datos	Los tipos de datos `"boolean string"`, `"restricted string"`, `"md5"`, `"IP"`, `"sha256"` y `"base64Binary"` se interpretan como series. La aplicación es compatible con la interpretación de la configuración de `Content` para los tipos de datos `int` y `date` cuando se establecen en forma de intervalos: OpenIOC 1.0: Usar el operador `TO` en el campo `Content`: `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: Usar las condiciones `greater-than` y `less-than` Usar el operador `TO` en el campo `Content` La aplicación es compatible con los tipos de datos `date` y `duration` si los indicadores se establecen en formato `ISO 8601, Zulu Time Zone, UTC`.

Inicio de página