Appendix 10. IOC-bestandsvereisten
Houd bij het maken van IOC-scantaken rekening met de volgende IOC-bestandsvereisten en -beperkingen:
- Het programma ondersteunt IOC-bestanden met de IOC- en XML-extensies in de open standaard OpenIOC versies 1.0 en 1.1 voor het beschrijven van indicatoren van compromis.
- Als u tijdens het maken van een IOC-scan-taak IOC-bestanden uploadt, waarvan sommige niet worden ondersteund, gebruikt het programma tijdens het uitvoeren van de taak alleen de ondersteunde IOC-bestanden. Als bij het maken van een IOC-scan op de opdrachtregel blijkt dat alle IOC-bestanden die u uploadt niet worden ondersteund, kan de taak nog steeds worden uitgevoerd, maar worden er geen compromisindicatoren gedetecteerd. Het is niet mogelijk om niet-ondersteunde IOC-bestanden te uploaden met behulp van Webconsole of Cloud Console.
- Semantische fouten en niet-ondersteunde IOC-termen en -tags in IOC-bestanden zorgen er niet voor dat de taakuitvoering mislukt. In dergelijke secties van IOC-bestanden detecteert het programma geen overeenkomst.
- De ID's van alle IOC files gebruikt in een enkele IOC-scantaak moeten uniek zijn. Als er IOC-bestanden zijn met dezelfde ID, kan dit van invloed zijn op de resultaten van de taakuitvoering.
- Een enkel IOC-bestand mag niet groter zijn dan 2 MB. Grotere bestanden beëindigen IOC-scantaken met een fout. De totale grootte van alle bestanden die worden toegevoegd aan de IOC collectie mag niet groter zijn dan 10 MB. Als de totale grootte van alle bestanden groter is dan 10 MB, moet u de collectie IOC's opsplitsen en meerdere IOC-scan-taken maken.
- Het wordt aanbevolen om één IOC-bestand per bedreiging te maken. Dit maakt het gemakkelijker om de resultaten van de IOC-scan taak te analyseren.
Het bestand dat u kunt downloaden door op de onderstaande koppeling te klikken, bevat een tabel met de volledige lijst met IOC-voorwaarden van de OpenIOC-norm.
Functies en beperkingen van de programma-ondersteuning voor de OpenIOC-standaard worden weergegeven in de volgende tabel.
Functies en beperkingen van de ondersteuning voor OpenIOC versie 1.0 en 1.1.
Ondersteunde condities | OpenIOC 1.0:
OpenIOC 1.1:
|
Ondersteunde conditie-attributen | OpenIOC 1.1:
|
Ondersteunde operators |
|
Ondersteunde gegevenstypes |
|
Kenmerken van interpretatie van gegevenstype | De gegevenstypes Het programma ondersteunt de interpretatie van de instelling OpenIOC 1.0: Met de operator
OpenIOC 1.1: Met de condities Met de operator Het programma ondersteunt interpretatie van de gegevenstypes |