Anexo 4. Requisitos para IOC file

Ao criar tarefas de Verificação IOC, tenha em consideração os seguintes requisitos para IOC file e limitações:

A aplicação suporta ficheiros IOC com as extensões IOC e XML nas versões 1.0 e 1.1 do padrão aberto OpenIOC para a descrição dos indicadores de comprometimento.
Se durante a criação da tarefa Verificação IOC na linha de comandos tiver carregado IOC files (alguns dos quais não são suportados), a aplicação utiliza apenas os IOC files suportados ao executar a tarefa. Se durante a criação da tarefa Verificação IOC na linha de comandos, todos os IOC files que carregar se revelarem não serem suportados, a tarefa continuará a poder ser executada, mas não serão detetados quaisquer indicadores de compromisso. Não é possível carregar ficheiros IOC não suportados utilizando a Consola Web ou a Cloud Console.
Os erros semânticos e as etiquetas e os termos IOC não suportados em IOC files não levam à falha na execução da tarefa. Em tais secções de IOC files, a aplicação não deteta qualquer correspondência.
Os identificadores de todos os IOC files utilizados numa única tarefa Verificação IOC devem ser únicos. Se existirem IOC files com o mesmo identificador, tal pode afetar os resultados da execução da tarefa.
Exemplo de um identificador de IOC file:

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
Um único IOC file não deve exceder 2 MB. A utilização de ficheiros maiores irá fazer com que as tarefas Verificação IOC terminem com um erro. O tamanho total de todos os ficheiros adicionados à coleção IOC não deve exceder os 10 MB. Se o tamanho total de todos os ficheiros exceder 10 MB, terá de dividir a coleção IOC e criar várias tarefas Verificação IOC.
É recomendado criar um IOC file por ameaça. Tal facilita a análise dos resultados da tarefa Verificação IOC.

O ficheiro que transfere através da ligação abaixo contém uma tabela com a lista completa dos termos IOC do padrão OpenIOC.

TRANSFERIR O FICHEIRO IOC_TERMS.XLSX

As funcionalidades e limitações de suporte da aplicação para o padrão OpenIOC são apresentadas na seguinte tabela.

Funcionalidades e limitações de suporte para OpenIOC versão 1.0 e 1.1.

Condições suportadas	OpenIOC 1.0: `is` `isnot` (as an exception from the set) `contains` `containsnot` (as an exception from the set) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Atributos da condição suportados	OpenIOC 1.1: `preserve-case` `negate`
Operadores suportados	`AND` `OR`
Tipos de dados suportados	`"date"`: data (condições aplicáveis: `is`, `greater-than`, `less-than`) `"int"`: número inteiro (condições aplicáveis: `is`, `greater-than`, `less-than`) `"string"`: cadeia (condições aplicáveis: `is`, `contains`, `matches`, `starts-with`, `ends-with`) `"duration"`: duração em segundos (condições aplicáveis: `is, greater-than, less-than`)
Funcionalidades da interpretação de tipos de dados	Os tipos de dados `"boolean string"`, `"restricted string"`, `"md5"`, `"IP"`, `"sha256"` e `"base64Binary"` são interpretados como uma cadeia. A aplicação suporta a interpretação do campo `Conteúdo` para os tipos de dados `int` e `date` sempre que seja apresentado na forma de intervalos: OpenIOC 1.0: Utilizar o operador `TO` no campo `Conteúdo`: `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: Utilizar as condições `greater-than` e `greater-than` Utilizar o operador `TO` no campo `Conteúdo` A aplicação suporta a intrepretação dos tipos de dados `date` e `duration`, se os indicadores estiverem definidos no formato `ISO 8601, Zulu Time Zone, UTC`.

Topo da página