Anexa 4. Cerințe privind fișierele IOC

Când creați activități de Scanare IOC, țineți cont de următoarele cerințe și limitări privind fișierul IOC:

Aplicația acceptă fișiere IOC cu extensiile IOC și XML în standardul deschis OpenIOC versiunile 1.0 și 1.1 pentru descrierea indicatorilor de compromitere.
Dacă în timpul creării unei activități Scanare IOC în linia de comandă, încărcați fișiere IOC, unele dintre acestea nefiind acceptate, atunci când activitatea este executată, aplicația utilizează numai fișierele IOC acceptate. Dacă în timpul creării unei activități Scanare IOC în linia de comandă, toate fișierele IOC pe care le încărcați rezultă că nu sunt acceptate, activitatea poate fi totuși executată, dar nu va detecta niciun indicator de compromitere. Nu este posibilă încărcarea fișierelor IOC neacceptate folosind Web Console sau Cloud Console.
Erorile semantice și termenii și etichetele IOC neacceptate nu determină eșuarea executării activității. În astfel de secțiuni ale fișierelor IOC, aplicația nu detectează nicio potrivire.
Identificatorii tuturor fișierelor IOC utilizați într-o activitate unică Scanare IOC trebuie să fie unici. Dacă există fișiere IOC cu același identificator, acest lucru ar putea afecta rezultatele executării activității.
Exemplu de identificator de fișier IOC file:

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
Un singur fișier IOC nu trebuie să aibă o dimensiune mai mare de 2 MO. Utilizarea unor fișiere mai mari va face ca activitatea Scanare IOC să se finalizeze cu o eroare. Dimensiunea totală a tuturor fișierelor adăugate la colecția IOC nu poate depăși 10 MO. Dacă dimensiunea totală a tuturor fișierelor depășește 10 MO, trebuie să divizați colecția IOC și să creați mai multe activități Scanare IOC.
Este recomandat să creați un fișier IOC per amenințare. Acest lucru facilitează analizarea rezultatelor activității Scanare IOC.

Fișierul pe care îl puteți descărca făcând clic pe linkul de mai jos, conține un tabel cu lista completă a termenilor IOC din standardul OpenIOC.

DESCĂRCAȚI FIȘIERUL IOC_TERMS.XLSX

Caracteristicile și limitările acceptării de către aplicație a standardului OpenIOC sunt prezentate în tabelul următor.

Caracteristicile și limitările acceptării OpenIOC versiunile 1.0 și 1.1.

Condiții acceptate	OpenIOC 1.0: `is` `isnot` (ca excepție de la set) `contains` `containsnot` (ca excepție de la set) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Atribute condiție acceptate	OpenIOC 1.1: `preserve-case` `negate`
Operatori acceptați	`AND` `OR`
Tipuri de date acceptate	`"date"`: data (condiții aplicabile: `is`, `greater-than`, `less-than`) `"int"`: număr întreg (condiții aplicabile: `is`, `greater-than`, `less-than`) `"string"`: șir (condiții aplicabile: `is`, `contains`, `matches`, `starts-with`, `ends-with`) `"duration"`: durata în secunde (condiții aplicabile: `is, greater-than, less-than`)
Caracteristici ale interpretării tipului de date	Tipurile de date `"boolean string"`, `"restricted string"`, `"md5"`, `"IP"`, `"sha256"` și `"base64Binary"` sunt interpretate ca șir. Aplicația acceptă interpretarea setării pentru `Content` pentru tipurile de date `int` și `date` când este setată sub formă de intervale: OpenIOC 1.0: Utilizarea operatorului `TO` în câmpul `Content`: `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: Utilizarea condițiilor `greater-than` și `less-than` Utilizarea operatorului `TO` în câmpul `Content` Aplicația acceptă interpretarea tipurilor de date `date` și `duration` dacă indicatorii sunt setați în format `ISO 8601, Zulu Time Zone, UTC`.

Începutul paginii