Soporte

Soporte para empresas

Kaspersky Endpoint Security 11 para Windows

Apéndices

Apéndice 11. Requisitos de archivos de IOC

Kaspersky Endpoint Security 11 para Windows
Нет результатов
Нет результатов
Ayuda Online
FAQ Requisitos del sistema Descargar Comprar Renovar Foro Contactar Asistencia Instrumentos de recuperación Videos del producto

Apéndice 11. Requisitos de archivos de IOC

20 de julio de 2023

ID 220828

Guardar como PDF

Al crear tareas de Análisis de IOC, tenga en cuenta los siguientes requisitos y limitaciones de los archivos de IOC:

  • Kaspersky Endpoint Detection and Response Optimum es compatible con archivos de IOC con extensiones IOC y XML en las versiones 1.0 y 1.1 del estándar abierto OpenIOC para describir indicadores de compromiso.
  • Si se cargan archivos de IOC (algunos de los cuales no son compatibles) durante la creación de la tarea de análisis de IOC, la aplicación utiliza solo los archivos de IOC compatibles cuando se ejecuta la tarea.
  • Si solo se cargan archivos de IOC no compatibles durante la tarea de análisis de IOC, la tarea de análisis puede llevarse a cabo, pero no se detectarán indicadores de compromiso.
  • Los errores semánticos y los términos y etiquetas de IOC no compatibles en archivos de IOC no hacen que falle la ejecución de la tarea. En dichas secciones de archivos de IOC, la aplicación no detecta una coincidencia.
  • Los identificadores de todos los archivos de IOC utilizados en una sola tarea de análisis de IOC deben ser únicos. Si hay archivos de IOC con el mismo identificador, esto puede afectar los resultados de la ejecución de la tarea.
  • Un solo archivo de IOC no debe superar los 3 MB de tamaño. Usar archivos más grandes hará que las tareas de análisis de IOC finalicen con un error. Dicho esto, el tamaño total de todos archivos agregados a la colección de IOC puede superar los 3 MB.
  • Se recomienda crear un archivo de IOC por amenaza. Esto facilita el análisis de los resultados de la tarea de análisis de IOC.

El archivo que puede descargar haciendo clic en el siguiente vínculo, contiene una tabla con la lista completa de términos IOC del estándar OpenIOC que son compatibles con la solución Kaspersky Endpoint Detection and Response.

DESCARGAR EL ARCHIVO IOC_TERMS.XLSX

Las funcionalidades y limitaciones en la compatibilidad de la aplicación con el estándar OpenIOC se enumeran en la siguiente tabla.

Funcionalidades y limitaciones en la compatibilidad con OpenIOC versiones 1.0 y 1.1.

Condiciones compatibles

OpenIOC 1.0:

is

isnot (como una excepción del grupo)

contains

containsnot (como una excepción del grupo)

OpenIOC 1.1:

is

contains

starts-with

ends-with

matches

greater-than

less-than

Atributos de la condición compatible

OpenIOC 1.1:

preserve-case

negate

Operadores compatibles

AND

OR

Tipos de datos compatibles

"date": fecha (condiciones aplicables: is, greater-than, less-than)

"int": número entero (condiciones aplicables: is, greater-than, less-than)

"string": serie (condiciones aplicables: is, contains, matches, starts-with, ends-with)

"duration": duración en segundos (condiciones aplicables: is, greater-than, less-than)

Funcionalidades de interpretación de tipos de datos

Los tipos de datos "boolean string", "restricted string", "md5", "IP", "sha256" y "base64Binary" se interpretan como series.

La aplicación es compatible con la interpretación de la configuración de Content para los tipos de datos int y date cuando se establecen en forma de intervalos:

OpenIOC 1.0:

Usar el operador TO en el campo Content:

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1:

Usar las condiciones greater-than y less-than

Usar el operador TO en el campo Content

La aplicación es compatible con los tipos de datos date y duration si los indicadores se establecen en formato ISO 8601, Zulu Time Zone, UTC.

¿El artículo le resultó útil?
¿En qué podemos mejorar?
¡Gracias por sus comentarios! Nos está ayudando a mejorar.
¡Gracias por sus comentarios! Nos está ayudando a mejorar.