Ek 4. IOC dosya gereksinimleri

IOC Taraması görevleri oluştururken aşağıdaki IOC dosyası gereksinimlerini ve sınırlamalarını göz önünde bulundurun:

Uygulama, güvenlik ihlali göstergelerini tanımlamak için açık standart OpenIOC 1.0 ve 1.1 sürümlerinde IOC ve XML uzantılarına sahip IOC dosyalarını destekler.
Komut satırında bir IOC Taraması görevi oluşturulurken, bazıları desteklenmeyen IOC dosyalarını yüklemeniz durumunda, görev çalıştırıldığında uygulama sadece desteklenen IOC dosyalarını kullanır. Komut satırında bir IOC Taraması görevi oluşturulurken yüklediğiniz tüm IOC dosyalarının desteklenmediği ortaya çıkması durumunda, görev yine de çalıştırılabilir ancak herhangi bir güvenlik ihlali göstergeleri tespit edilmeyecektir. Web Console veya Cloud Console kullanılarak desteklenmeyen IOC dosyalarının yüklenmesi mümkün değildir.
IOC dosyalarındaki anlamsal hatalar ve desteklenmeyen IOC terimleri ve etiketleri, görevin yürütülmesinde başarısızlığa neden olmaz. IOC dosyalarının bu tür bölümlerinde uygulama hiçbir eşleşme algılamaz.
Tek bir IOC Taraması görevinde kullanılan tüm IOC dosyalarının tanımlayıcıları benzersiz olmalıdır. Aynı tanımlayıcıya sahip IOC dosyaları olduğunda, bu görev yürütme sonuçlarını etkileyebilir.
Bir IOC dosya tanımlayıcısı örneği:

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
Tek bir IOC dosyasının en fazla 2 MB olabilir. Daha büyük dosyaların kullanılması, IOC Taraması görevlerinin bir hatayla sonlandırılmasına neden olur. IOC koleksiyonuna eklenen tüm dosyaların toplam boyutu en fazla 10 MB olabilir. Tüm dosyaların toplam boyutu 10 MB üzerinde olduğu takdirde, IOC koleksiyonunu bölmeniz ve birkaç IOC Taraması görevi oluşturmanız gerekir.
Her tehdit başına bir IOC dosyası oluşturmanız önerilir. Böylece IOC Taraması görevinin sonuçlarını analiz etmek kolaylaşır.

Aşağıdaki bağlantıya tıklayarak indirebileceğiniz dosyada, OpenIOC standardının IOC terimlerinin tam listesini içeren bir tablo bulunur.

IOC_TERMS.XLSX DOSYASINI İNDİRİN

Uygulamanın OpenIOC standardı desteğinin özellikleri ve sınırlamaları aşağıdaki tabloda gösterilmiştir.

OpenIOC sürüm 1.0 ve 1.1 desteğinin özellikleri ve sınırlamaları.

Desteklenen koşullar	OpenIOC 1.0: `is` `isnot` (setten bir istisna olarak) `contains` `containsnot` (setten bir istisna olarak) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Desteklenen koşulların özellikleri	OpenIOC 1.1: `preserve-case` `negate`
Desteklenen operatörler	`AND` `OR`
Desteklenen veri türleri	`"date"`: tarih (geçerli koşullar: `is`, `greater-than`, `less-than`) `"int"`: tamsayı (geçerli koşullar: `is`, `greater-than`, `less-than`) `"string"`: dize (geçerli koşullar: `is`, `contains`, `matches`, `starts-with`, `ends-with`) `"duration"`: saniye olarak süre (geçerli koşullar: `is, greater-than, less-than`)
Veri türü yorumlama özellikleri	`"boolean string"`, `"restricted string"`, `"md5"`, `"IP"`, `"sha256"` ve `"base64Binary"` veri türleri, dize olarak yorumlanır. Uygulama, aralıklar biçiminde ayarlandığında `int` ve `date` veri türleri için `Content` ayarının yorumlanmasını destekliyor: OpenIOC 1.0: `Content` alanında `TO` operatörünü kullanarak: `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: `greater-than` ve `less-than` koşullarını kullanarak `Content` alanında `TO` operatörünü kullanarak Uygulama, `ISO 8601, Zulu Time Zone, UTC` biçiminde olduğu sürece `date` ve `duration` veri türlerinin yorumlanmasını destekler.

Sayfanın başına git