Apêndice 4. Requisitos de arquivos IOC

Ao criar as tarefas de Verificação de IOC, considere os seguintes requisitos e limitações de arquivos IOC:

O aplicativo é compatível com os arquivos IOC com as extensões IOC e XML no padrão aberto OpenIOC versões 1.0 e 1.1 para descrever os indicadores de comprometimento.
Se, ao criar uma tarefa de verificação de IOC na linha de comando, os arquivos IOC forem carregados, alguns dos quais sendo incompatíveis, quando a tarefa for executada, o aplicativo usará somente os arquivos IOC compatíveis. Se, ao criar uma tarefa de verificação de IOC na linha de comando, todos os arquivos IOC carregados forem indicados como incompatíveis, a tarefa ainda pode ser executada, mas ela não detectará nenhum indicador de compromisso. Não é possível carregar arquivos IOC incompatíveis usando o Web Console ou Cloud Console.
Erros semânticos, termos e tags IOC não compatíveis em arquivos IOC não causam falha na execução da tarefa. Nessas seções de arquivos IOC, o aplicativo não detecta nenhuma correspondência.
Os identificadores de todos os arquivos IOC utilizados em uma única tarefa de Verificação de IOC devem ser únicos. Se houver arquivos IOC com o mesmo identificador, isso poderá afetar os resultados da execução da tarefa.
Exemplo de um identificador de arquivos IOC:

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
Um único arquivo IOC não deve exceder o tamanho de 2 MB. A utilização de arquivos maiores causará erros nas tarefas de Verificação de IOC. O tamanho total de todos os arquivos adicionados à coleção IOC não deve exceder 10 MB. Se o tamanho total de todos os arquivos exceder 10 MB, você precisará dividir a coleção IOC e criar diversas tarefas de Verificação de IOC.
Recomenda-se a criação de um arquivo IOC por ameaça. Isso facilita a análise dos resultados da tarefa de Verificação de IOC.

O arquivo que pode ser baixado clicando no link abaixo contém uma tabela com a lista completa dos termos de IOC do padrão OpenIOC.

DOWNLOAD DO ARQUIVO IOC TERMS.XLSX

Os recursos e as limitações de compatibilidade do aplicativo com o padrão OpenIOC são apresentados na tabela a seguir.

Recursos e limitações do compatibilidade do OpenIOC versão 1.0 e 1.1.

Condições de compatibilidade	OpenIOC 1.0: `is` `isnot` (uma exceção a partir do conjunto) `contains` `containsnot` (uma exceção a partir do conjunto) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Atributos de condições de compatibilidade	OpenIOC 1.1: `preserve-case` `negate`
Operadores compatíveis	`AND` `OR`
Tipos de dados compatíveis	`"date"`: data (condições aplicáveis: `is`, `greater-than`, `less-than`) `"int"`: número inteiro (condições aplicáveis: `is`, `greater-than`, `less-than`) `"string"`: string (condições aplicáveis: `is`, `contains`, `matches`, `starts-with`, `ends-with`) `"duration"`: duração em segundos (condições aplicáveis: `is, greater-than, less-than`)
Características de interpretação de tipos de dados	Os tipos de dados `"boolean string"`, `"restricted string"`, `"md5"`, `"IP"`, `"sha256"` e `"base64Binary"` são interpretados como string. O aplicativo é compatível com a interpretação da configuração `Content`, para os tipos de dados `int` e `date` quando definidos na forma de intervalos: OpenIOC 1.0: Uso do operador `TO` no campo `Content`: `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: Uso das condições `greater-than` e `less-than` Uso do operador `TO` no campo `Content` O aplicativo é compatível com a interpretação dos tipos de dados `date` e `duration` caso os indicadores sejam definidos no formato `ISO 8601, Zulu Time Zone, UTC`.

Início da página