부록 10. IOC 파일 요구 사항

IOC 검사 작업 생성 시 다음 IOC 파일 요구 사항 및 제한 사항을 고려하십시오:

• 애플리케이션은 침해지표 표시에 대해 개방형 표준 OpenIOC 버전 1.0 및 1.1에서 IOC 및 XML 확장자의 IOC 파일을 지원합니다.
• 명령줄에서 IOC 검사 작업 생성 시 업로드한 IOC 파일 중 지원하지 않는 파일이 있으면, 작업 실행 시 애플리케이션이 지원하는 IOC 파일만을 사용합니다. 명령줄에서 IOC 검사 작업 생성 시 업로드한 IOC 파일 전체가 지원하지 않는 파일이라면, 작업을 계속 실행할 수는 있지만 침해 지표를 전혀 탐지하지 못합니다. 웹 콘솔이나 클라우드 콘솔을 사용하여 지원하지 않는 IOC 파일을 업로드할 수 없습니다.
• IOC 파일에서 의미 오류나 지원하지 않은 IOC 용어 및 태그가 있어도 작업 실행이 실패하지는 않습니다. 이러한 IOC 파일 섹션에서는 애플리케이션이 아무것도 탐지하지 않습니다.
• 단일 IOC 검사 작업에 사용된 모든 IOC 파일의 ID는 고유해야 합니다. ID가 같은 IOC 파일이 있다면 작업 실행 결과에 영향을 미칠 수 있습니다.

  IOC 파일 ID 예시:

  <ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">

• 단일 IOC 파일의 크기는 2MB를 넘지 않아야 합니다. 더 큰 파일을 사용하면 IOC 검사 작업 시 오류가 발생할 수 있습니다. IOC 컬렉션에 추가한 모든 파일의 총 크기는 10MB를 초과할 수 없습니다. 모든 파일의 총 크기가 10MB를 초과하면 IOC 컬렉션을 분할하고 여러 개의 IOC 검사 작업을 생성해야 합니다.
• 보안위협 하나당 IOC 파일 하나를 생성할 것을 권장합니다. 이를 통해 IOC 검사 작업 결과를 더 쉽게 분석할 수 있습니다.

아래의 링크를 클릭해 다운로드할 수 있는 파일에는 OpenIOC 표준의 전체 IOC 용어 목록이 포함되어 있습니다.

IOC_TERMS.XLSX 파일 다운로드

OpenIOC 표준에 대한 애플리케이션 지원의 기능 및 제한 사항은 다음 표에 나와 있습니다.

OpenIOC 버전 1.0 및 1.1 지원의 기능 및 제한 사항.