Requisitos del archivo de IOC
27 de junio de 2024
ID 276288
Al crear tareas de Análisis de IOC, tenga en cuenta los siguientes requisitos y limitaciones del archivo de IOC:
- La aplicación admite archivos de IOC con las extensiones IOC y XML en las versiones 1.0 y 1.1 del estándar abierto OpenIOC para describir indicadores de peligro.
- Si, al momento de crear una tarea de análisis de IOC en la línea de comandos, carga archivos de IOC (algunos de los cuales no son compatibles), cuando se ejecuta la tarea, la aplicación usa solo los archivos de IOC compatibles. Si, al momento de crear una tarea de análisis de IOC en la línea de comandos, todos los archivos de IOC que carga resultan no compatibles, la tarea aún se puede ejecutar, pero no detectará ningún indicador de peligro. No es posible cargar archivos de IOC no compatibles mediante Web Console o Cloud Console.
- Los errores semánticos y los términos y etiquetas de IOC no compatibles en los archivos de IOC no provocan un error en la ejecución de la tarea. En dichas secciones de los archivos de IOC, la aplicación no detecta ninguna coincidencia.
- Los identificadores de todos los archivos de IOC utilizados en una única tarea de análisis de IOC deben ser únicos. Si los archivos de IOC tienen el mismo identificador, puede afectar los resultados de la ejecución de la tarea.
- Un solo archivo de IOC no debe exceder los 2 MB de tamaño. El uso de archivos más grandes hará que las tareas de análisis de IOC finalicen con un error. El tamaño total de todos los archivos agregados a la colección IOC no debe exceder los 10 MB. Si el tamaño total de todos los archivos supera los 10 MB, debe dividir la colección IOC y crear varias tareas de Análisis de IOC.
- Se recomienda crear un archivo de IOC por amenaza. Esto facilita el análisis de los resultados de la tarea de Análisis de IOC.
En la siguiente tabla, se muestran las funciones y limitaciones de la compatibilidad de la aplicación con el estándar OpenIOC.
Características y limitaciones de la compatibilidad con OpenIOC versiones 1.0 y 1.1.
Condiciones admitidas | OpenIOC 1.0:
OpenIOC 1.1:
|
Atributos de condición admitidos | OpenIOC 1.1:
|
Operadores admitidos |
|
Tipos de datos admitidos |
|
Características de la interpretación de tipos de datos | Los tipos de datos La aplicación admite la interpretación de OpenIOC 1.0: Usar el operador
OpenIOC 1.1: Usar las condiciones Usar el operador La aplicación admite la interpretación de los tipos date y duration si los indicadores se configuran en |