10. melléklet IOC-fájl követelményei

Támogatás

Üzleti megoldások támogatása

Kaspersky Endpoint Security 12 for Windows

Függelékek

10. melléklet IOC-fájl követelményei

2024. február 14.

ID 220828

Az IOC vizsgálati feladatok létrehozásakor vegye figyelembe az IOC-fájlra vonatkozó alábbi követelményeket és korlátozásokat:

Az alkalmazás támogatja az IOC és XML kiterjesztésű, illetve a nyílt szabványú OpenIOC 1.0 és 1.1 verzióinak megfelelő IOC-fájlokat a biztonsági sérülési indikátorok leírására.
Ha az IOC vizsgálat feladat parancssori létrehozása során olyan IOC-fájlokat tölt fel, amelyek közül néhány nem támogatott, a feladat futtatásakor az alkalmazás csak a támogatott IOC-fájlokat használja. Ha az IOC vizsgálat feladat parancssori létrehozása során a feltöltött IOC-fájlok mindegyike nem támogatottnak bizonyul, a feladat továbbra is futtatható, de nem fogja észlelni a biztonsági sérülési indikátorokat. Nem támogatott IOC-fájlok feltöltése a Web Console vagy a Cloud Console segítségével nem lehetséges.
A szemantikai hibák és a nem támogatott IOC-kifejezések és -címkék az IOC-fájlokban nem okoznak sikertelen feladatvégrehajtást. Az IOC-fájlok ilyen szakaszaiban az alkalmazás nem észlel egyezést.
Az egy IOC vizsgálati feladatban használt összes IOC-fájl azonosítójának egyedinek kell lennie. Ha ugyanolyan azonosítóval rendelkező IOC-fájlok vannak, az befolyásolhatja a feladatvégrehajtás eredményeit.
Példa egy IOC-fájl azonosítójára:

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
Egy IOC-fájl mérete nem haladhatja meg a 2 MB-ot. Nagyobb fájlok használata az IOC vizsgálati feladatok hibával történő leállását okozza. Az IOC-gyűjteményhez hozzáadott összes fájl teljes mérete nem haladhatja meg a 10 MB-ot. Ha az összes fájl teljes mérete meghaladja a 10 MB-ot, akkor fel kell osztania az IOC-gyűjteményt, és több IOC vizsgálati feladatot kell létrehoznia.
Fenyegetésenként egy IOC-fájlt ajánlott létrehozni. Ez megkönnyíti az IOC vizsgálat feladat eredményeinek elemzését.

Az alábbi hivatkozásra kattintva letölthető fájl egy táblázatot tartalmaz az OpenIOC szabvány IOC-feltételeinek teljes listájával.

TÖLTSE LE AZ IOC_TERMS.XLSX FÁJLT

Az alkalmazás OpenIOC szabványt támogató jellemzőit és korlátait az alábbi táblázat mutatja be.

Az OpenIOC 1.0 és 1.1 verzió támogatási jellemzői és korlátai.

Támogatott feltételek	OpenIOC 1.0: `is` `isnot` (kivétel a halmazból) `contains` `containsnot` (kivétel a halmazból) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Támogatott feltételattribútumok	OpenIOC 1.1: `preserve-case` `negate`
Támogatott operátorok	`AND` `OR`
Támogatott adattípusok	`„date”`: dátum (alkalmazható feltételek: `is`, `greater-than`, `less-than`) `„int”`: egész szám (alkalmazható feltételek: `is`, `greater-than`, `less-than`) `„string”`: karakterlánc (alkalmazható feltételek: `is`, `contains`, `matches`, `starts-with`, `ends-with`) `„duration”`: időtartam másodpercben (alkalmazható feltételek: `is, greater-than, less-than`)
Az adattípusok értelmezésének jellemzői	A `„boolean string”`, a `„restricted string”`, az `„md5”`, az `„IP”`, az `„sha256”` és a `„base64Binary”` adattípusok értelmezése karakterláncként történik. Az alkalmazás támogatja az `int` és a `date` adattípusokhoz tartozó `Content` beállítás értelmezését, ha az intervallum formájában van megadva: OpenIOC 1.0: A `TO` operátor használata a `Content` mezőben: `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: A `greater-than` és a `less-than` feltételek A `TO` operátor használata a `Content` mezőben Az alkalmazás támogatja a `date` és a `duration` adattípusok értelmezését, ha az indikátorok `ISO 8601, Zulu Time Zone, UTC` formátumban vannak megadva.

Hasznosnak találta ezt a cikket?

Min tudnánk javítani?

Köszönjük a visszajelzést! Segít nekünk a fejlesztésben.