Appendix 4. IOC-bestandsvereisten

Houd bij het maken van IOC-scantaken rekening met de volgende IOC-bestandsvereisten en -beperkingen:

Het programma ondersteunt IOC-bestanden met de IOC- en XML-extensies in de open standaard OpenIOC versies 1.0 en 1.1 voor het beschrijven van indicatoren van compromis.
Als u tijdens het maken van een IOC Scan-taak IOC-bestanden uploadt, waarvan sommige niet worden ondersteund, gebruikt het programma tijdens het uitvoeren van de taak alleen de ondersteunde IOC-bestanden. Als bij het maken van een IOC-scantaak op de opdrachtregel blijkt dat alle IOC-bestanden die u uploadt niet worden ondersteund, kan de taak nog steeds worden uitgevoerd, maar worden er geen compromisindicatoren gedetecteerd. Het is niet mogelijk om niet-ondersteunde IOC-bestanden te uploaden met behulp van Webconsole of Cloud Console.
Semantische fouten en niet-ondersteunde IOC-termen en -tags in IOC-bestanden zorgen er niet voor dat de taakuitvoering mislukt. In dergelijke secties van IOC-bestanden detecteert het programma geen overeenkomst.
De ID's van alle IOC files gebruikt in een enkele IOC-scantaak moeten uniek zijn. Als er IOC-bestanden zijn met dezelfde ID, kan dit van invloed zijn op de resultaten van de taakuitvoering.
Voorbeeld van een IOC-bestandsidentificatie:

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
Een enkel IOC-bestand mag niet groter zijn dan 2 MB. Grotere bestanden beëindigen IOC-scantaken met een fout. De totale grootte van alle bestanden die worden toegevoegd aan de IOC collectie mag niet groter zijn dan 10 MB. Als de totale grootte van alle bestanden groter is dan 10 MB, moet u de collectie IOC's opsplitsen en meerdere IOC-scan-taken maken.
Het wordt aanbevolen om één IOC-bestand per bedreiging te maken. Dit maakt het gemakkelijker om de resultaten van de IOC Scan-taak te analyseren.

Het bestand dat u kunt downloaden door op de onderstaande koppeling te klikken, bevat een tabel met de volledige lijst met IOC-voorwaarden van de OpenIOC-norm.

IOC_TERMS.XLSX DOWNLOADEN

Functies en beperkingen van de programma-ondersteuning voor de OpenIOC-standaard worden weergegeven in de volgende tabel.

Functies en beperkingen van de ondersteuning voor OpenIOC versie 1.0 en 1.1.

Ondersteunde condities	OpenIOC 1.0: `is` `isnot` (als uitzondering van de set) `contains` `containsnot` (als uitzondering van de set) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Ondersteunde conditie-attributen	OpenIOC 1.1: `preserve-case` `negate`
Ondersteunde operators	`AND` `OR`
Ondersteunde gegevenstypes	`"date"`: datum (toepasselijke condities: `is`, `greater-than`, `less-than`) `"int"`: integer (toepasselijke condities: `is`, `greater-than`, `less-than`) `"string"`: string (toepasselijke condities: `is`, `contains`, `matches`, `starts-with`, `ends-with`) `"duration"`: duur in seconden (toepasselijke condities: `is, greater-than, less-than`)
Kenmerken van interpretatie van gegevenstype	De gegevenstypes `"boolean string"`, `"restricted string"`, `"md5"`, `"IP"`, `"sha256"` en `"base64Binary"` worden geïnterpreteerd als string. Het programma ondersteunt de interpretatie van de instelling `Content` voor de gegevenstypes `int` en `date` wanneer het is ingesteld in de vorm van intervallen: OpenIOC 1.0: Met de operator `TO` in het veld `Content`: `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: Met de condities `greater-than` en `less-than` Met de operator `TO` in het veld `Content` Het programma ondersteunt interpretatie van de gegevenstypes `date` en `duration` als de indicators ingesteld zijn in het formaat `ISO 8601, Zulu Time Zone, UTC`.

Naar boven