Phụ lục 4. Các yêu cầu của tập tin IOC

Khi tạo các tác vụ Quét IOC, hãy xem xét các yêu cầu và hạn chế của tập tin IOC sau:

• Ứng dụng hỗ trợ các tập tin IOC có phần mở rộng IOC và XML trong phiên bản OpenIOC tiêu chuẩn mở 1.0 và 1.1 để mô tả các dấu hiệu về sự xâm nhập.
• Nếu khi tạo một tác vụ Quét IOC trên dòng lệnh, bạn tải lên các tập tin IOC, một số tập tin trong số đó không được hỗ trợ thì khi tác vụ được chạy, ứng dụng chỉ sử dụng các tập tin IOC được hỗ trợ. Nếu khi tạo một tác vụ Quét IOC trên dòng lệnh, tất cả các tập tin IOC mà bạn tải lên hóa ra không được hỗ trợ thì bạn vẫn có thể chạy tác vụ đó, nhưng sẽ không có bất kỳ dấu hiệu về sự xâm nhập nào được phát hiện. Không thể tải lên các tập tin IOC không được hỗ trợ bằng Bảng điều khiển web hoặc Bảng điều khiển đám mây.
• Quá trình thực thi tác vụ vẫn diễn ra thành công dù có các lỗi ngữ nghĩa và các từ và thẻ IOC không được hỗ trợ trong tập tin IOC. Trong các phần như vậy của tập tin IOC, ứng dụng không phát hiện thấy sự trùng khớp nào.
• Mã định danh của tất cả các tập tin IOC được sử dụng trong một tác vụ Quét IOC phải có tính duy nhất. Nếu có các tập tin IOC có cùng số mã định danh thì điều đó có thể ảnh hưởng đến kết quả thực thi tác vụ.

  Ví dụ về một mã định danh tập tin IOC:

  <ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">

• Một tập tin IOC không được có kích thước vượt quá 2 MB. Việc sử dụng các tập tin lớn hơn sẽ khiến các tác vụ Quét IOC kết thúc bằng một lỗi. Tổng dung lượng của tất cả các tập tin được thêm vào bộ sưu tập IOC không được vượt quá 10 MB. Nếu tổng dung lượng của tất cả các tập tin vượt quá 10 MB, bạn cần chia bộ sưu tập IOC và tạo vài tác vụ Quét IOC.
• Bạn nên tạo một tập tin IOC cho mỗi mối đe dọa. Điều này giúp cho việc phân tích kết quả của tác vụ Quét IOC được dễ dàng hơn.

Tập tin mà bạn có thể tải về bằng cách nhấn vào liên kết bên dưới, có chứa một bảng kèm danh sách đầy đủ các từ của tiêu chuẩn OpenIOC.

TẢI XUỐNG TẬP TIN IOC_TERMS.XLSX

Các tính năng và giới hạn hỗ trợ của ứng dụng đối với tiêu chuẩn OpenIOC được hiển thị trong bảng sau.

Các tính năng và giới hạn của hỗ trợ OpenIOC phiên bản 1.0 và 1.1.

Các điều kiện được hỗ trợ	OpenIOC 1.0: is isnot (là một ngoại lệ của tập hợp) contains containsnot (là một ngoại lệ của tập hợp) OpenIOC 1.1: is contains starts-with ends-with matches greater-than less-than
Các thuộc tính điều kiện được hỗ trợ	OpenIOC 1.1: preserve-case negate
Các toán tử được hỗ trợ	AND OR
Các kiểu dữ liệu được hỗ trợ	"date": ngày tháng (điều kiện áp dụng: is, greater-than, less-than) "int": số nguyên (điều kiện áp dụng: is, greater-than, less-than) "string": xâu ký tự (điều kiện áp dụng: is, contains, matches, starts-with, ends-with) "duration": thời lượng tính bằng giây (điều kiện áp dụng: is, greater-than, less-than)
Các tính năng thông dịch kiểu dữ liệu	Các kiểu dữ liệu "boolean string", "restricted string", "md5", "IP", "sha256" và "base64Binary" được thông dịch dưới dạng xâu ký tự. Ứng dụng hỗ trợ thông dịch thiết lập Content cho các kiểu dữ liệu int và date khi nó được đặt theo dạng khoảng thời gian: OpenIOC 1.0: Sử dụng toán tử TO trong trường Content: <Content type="int">49600 TO 50700</Content> <Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content> <Content type="int">[154192 TO 154192]</Content> OpenIOC 1.1: Sử dụng các điều kiện greater-than và less-than Sử dụng toán tử TO trong trường Content Ứng dụng hỗ trợ thông dịch các kiểu dữ liệu date và duration nếu các dấu hiệu được đặt theo định dạng ISO 8601, Zulu Time Zone, UTC.

Về đầu trang