Appendix 11. IOC-bestandsvereisten
Houd bij het maken van IOC-scantaken rekening met de volgende IOC-bestandsvereisten en -beperkingen:
- Kaspersky Endpoint Detection and Response Optimum ondersteunt IOC-bestanden met de IOC- en XML-extensies in de open standaard OpenIOC versies 1.0 en 1.1 voor het beschrijven van indicatoren van compromis.
- Als u tijdens het maken van een IOC Scan-taak IOC-bestanden uploadt, waarvan sommige niet worden ondersteund, gebruikt het programma tijdens het uitvoeren van de taak alleen de ondersteunde IOC-bestanden.
- Als u tijdens het maken van een IOC Scan-taak alleen niet-ondersteunde IOC-bestanden uploadt, kan de taak wel nog worden uitgevoerd, maar worden er geen indicators voor een compromis gedetecteerd.
- Semantische fouten en niet-ondersteunde IOC-termen en -tags in IOC-bestanden zorgen er niet voor dat de taakuitvoering mislukt. In dergelijke secties van IOC-bestanden detecteert het programma geen overeenkomst.
- De ID's van alle IOC files gebruikt in een enkele IOC-scantaak moeten uniek zijn. Als er IOC-bestanden zijn met dezelfde ID, kan dit van invloed zijn op de resultaten van de taakuitvoering.
- Een enkel IOC-bestand mag niet groter zijn dan 3 MB. Grotere bestanden beëindigen IOC-scantaken met een fout. Dat gezegd hebbende, kan de totale grootte van alle bestanden die aan de IOC-verzameling zijn toegevoegd, groter zijn dan 3 MB.
- Het wordt aanbevolen om één IOC-bestand per bedreiging te maken. Dit maakt het gemakkelijker om de resultaten van de IOC Scan-taak te analyseren.
Het bestand dat u kunt downloaden door op de onderstaande koppeling te klikken, bevat een tabel met de volledige lijst met IOC-voorwaarden van de OpenIOC-norm die worden ondersteund door de Kaspersky Endpoint Detection and Response-oplossing.
Functies en beperkingen van de programma-ondersteuning voor de OpenIOC-standaard worden weergegeven in de volgende tabel.
Functies en beperkingen van de ondersteuning voor OpenIOC versie 1.0 en 1.1.
Ondersteunde condities | OpenIOC 1.0:
OpenIOC 1.1:
|
Ondersteunde conditie-attributen | OpenIOC 1.1:
|
Ondersteunde operators |
|
Ondersteunde gegevenstypes |
|
Kenmerken van interpretatie van gegevenstype | De gegevenstypes Het programma ondersteunt de interpretatie van de instelling OpenIOC 1.0: Met de operator
OpenIOC 1.1: Met de condities Met de operator Het programma ondersteunt interpretatie van de gegevenstypes |