Ondersteuning

Ondersteuning voor bedrijfsoplossingen

Kaspersky Endpoint Security 11 voor Windows

Bijlagen

Appendix 11. IOC-bestandsvereisten

Kaspersky Endpoint Security 11 voor Windows
Нет результатов
Нет результатов
Online Hulp
Veelgestelde vragen Systeemvereisten Download Kopen Vernieuwen Forum Contact opnemen met ondersteuning Hulpmiddelen voor herstel Productvideo's

Appendix 11. IOC-bestandsvereisten

20 juli 2023

ID 220828

Opslaan als PDF

Houd bij het maken van IOC-scantaken rekening met de volgende IOC-bestandsvereisten en -beperkingen:

  • Kaspersky Endpoint Detection and Response Optimum ondersteunt IOC-bestanden met de IOC- en XML-extensies in de open standaard OpenIOC versies 1.0 en 1.1 voor het beschrijven van indicatoren van compromis.
  • Als u tijdens het maken van een IOC Scan-taak IOC-bestanden uploadt, waarvan sommige niet worden ondersteund, gebruikt het programma tijdens het uitvoeren van de taak alleen de ondersteunde IOC-bestanden.
  • Als u tijdens het maken van een IOC Scan-taak alleen niet-ondersteunde IOC-bestanden uploadt, kan de taak wel nog worden uitgevoerd, maar worden er geen indicators voor een compromis gedetecteerd.
  • Semantische fouten en niet-ondersteunde IOC-termen en -tags in IOC-bestanden zorgen er niet voor dat de taakuitvoering mislukt. In dergelijke secties van IOC-bestanden detecteert het programma geen overeenkomst.
  • De ID's van alle IOC files gebruikt in een enkele IOC-scantaak moeten uniek zijn. Als er IOC-bestanden zijn met dezelfde ID, kan dit van invloed zijn op de resultaten van de taakuitvoering.
  • Een enkel IOC-bestand mag niet groter zijn dan 3 MB. Grotere bestanden beëindigen IOC-scantaken met een fout. Dat gezegd hebbende, kan de totale grootte van alle bestanden die aan de IOC-verzameling zijn toegevoegd, groter zijn dan 3 MB.
  • Het wordt aanbevolen om één IOC-bestand per bedreiging te maken. Dit maakt het gemakkelijker om de resultaten van de IOC Scan-taak te analyseren.

Het bestand dat u kunt downloaden door op de onderstaande koppeling te klikken, bevat een tabel met de volledige lijst met IOC-voorwaarden van de OpenIOC-norm die worden ondersteund door de Kaspersky Endpoint Detection and Response-oplossing.

IOC_TERMS.XLSX DOWNLOADEN

Functies en beperkingen van de programma-ondersteuning voor de OpenIOC-standaard worden weergegeven in de volgende tabel.

Functies en beperkingen van de ondersteuning voor OpenIOC versie 1.0 en 1.1.

Ondersteunde condities

OpenIOC 1.0:

is

isnot (als uitzondering van de set)

contains

containsnot (als uitzondering van de set)

OpenIOC 1.1:

is

contains

starts-with

ends-with

matches

greater-than

less-than

Ondersteunde conditie-attributen

OpenIOC 1.1:

preserve-case

negate

Ondersteunde operators

AND

OR

Ondersteunde gegevenstypes

"date": datum (toepasselijke condities: is, greater-than, less-than)

"int": integer (toepasselijke condities: is, greater-than, less-than)

"string": string (toepasselijke condities: is, contains, matches, starts-with, ends-with)

"duration": duur in seconden (toepasselijke condities: is, greater-than, less-than)

Kenmerken van interpretatie van gegevenstype

De gegevenstypes "boolean string", "restricted string", "md5", "IP", "sha256" en "base64Binary" worden geïnterpreteerd als string.

Het programma ondersteunt de interpretatie van de instelling Content voor de gegevenstypes int en date wanneer het is ingesteld in de vorm van intervallen:

OpenIOC 1.0:

Met de operator TO in het veld Content:

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1:

Met de condities greater-than en less-than

Met de operator TO in het veld Content

Het programma ondersteunt interpretatie van de gegevenstypes date en duration als de indicators ingesteld zijn in het formaat ISO 8601, Zulu Time Zone, UTC.

Vond je dit artikel nuttig?
Wat kunnen we beter doen?
Bedankt voor je feedback! Je helpt ons verbeteren.
Bedankt voor je feedback! Je helpt ons verbeteren.