부록 10. IOC 파일 요구 사항
IOC 검사 작업 생성 시 다음 IOC 파일 요구 사항 및 제한 사항을 고려하십시오:
- 애플리케이션은 침해지표 표시에 대해 개방형 표준 OpenIOC 버전 1.0 및 1.1에서 IOC 및 XML 확장자의 IOC 파일을 지원합니다.
- 명령줄에서 IOC 검사 작업 생성 시 업로드한 IOC 파일 중 지원하지 않는 파일이 있으면, 작업 실행 시 애플리케이션이 지원하는 IOC 파일만을 사용합니다. 명령줄에서 IOC 검사 작업 생성 시 업로드한 IOC 파일 전체가 지원하지 않는 파일이라면, 작업을 계속 실행할 수는 있지만 침해 지표를 전혀 탐지하지 못합니다. 웹 콘솔이나 클라우드 콘솔을 사용하여 지원하지 않는 IOC 파일을 업로드할 수 없습니다.
- IOC 파일에서 의미 오류나 지원하지 않은 IOC 용어 및 태그가 있어도 작업 실행이 실패하지는 않습니다. 이러한 IOC 파일 섹션에서는 애플리케이션이 아무것도 탐지하지 않습니다.
- 단일 IOC 검사 작업에 사용된 모든 IOC 파일의 ID는 고유해야 합니다. ID가 같은 IOC 파일이 있다면 작업 실행 결과에 영향을 미칠 수 있습니다.
- 단일 IOC 파일의 크기는 2MB를 넘지 않아야 합니다. 더 큰 파일을 사용하면 IOC 검사 작업 시 오류가 발생할 수 있습니다. IOC 컬렉션에 추가한 모든 파일의 총 크기는 10MB를 초과할 수 없습니다. 모든 파일의 총 크기가 10MB를 초과하면 IOC 컬렉션을 분할하고 여러 개의 IOC 검사 작업을 생성해야 합니다.
- 보안위협 하나당 IOC 파일 하나를 생성할 것을 권장합니다. 이를 통해 IOC 검사 작업 결과를 더 쉽게 분석할 수 있습니다.
아래의 링크를 클릭해 다운로드할 수 있는 파일에는 OpenIOC 표준의 전체 IOC 용어 목록이 포함되어 있습니다.
OpenIOC 표준에 대한 애플리케이션 지원의 기능 및 제한 사항은 다음 표에 나와 있습니다.
OpenIOC 버전 1.0 및 1.1 지원의 기능 및 제한 사항.
지원 조건 | OpenIOC 1.0:
OpenIOC 1.1:
|
지원 조건 속성 | OpenIOC 1.1:
|
지원 연산자 |
|
지원 데이터 유형 |
|
데이터 유형 해석 기능 |
이 애플리케이션은 OpenIOC 1.0:
OpenIOC 1.1:
지표가 |