Ondersteuning

Ondersteuning voor bedrijfsoplossingen

Kaspersky Endpoint Security 12 voor Windows

Bijlagen

Appendix 10. IOC-bestandsvereisten

Kaspersky Endpoint Security 12 voor Windows
Нет результатов
Нет результатов
Online Hulp
Veelgestelde vragen Systeemvereisten Download Kopen Vernieuwen Forum Contact opnemen met ondersteuning Hulpmiddelen voor herstel Productvideo's

Appendix 10. IOC-bestandsvereisten

14 februari 2024

ID 220828

Opslaan als PDF

Houd bij het maken van IOC-scantaken rekening met de volgende IOC-bestandsvereisten en -beperkingen:

  • Het programma ondersteunt IOC-bestanden met de IOC- en XML-extensies in de open standaard OpenIOC versies 1.0 en 1.1 voor het beschrijven van indicatoren van compromis.
  • Als u tijdens het maken van een IOC-scan-taak IOC-bestanden uploadt, waarvan sommige niet worden ondersteund, gebruikt het programma tijdens het uitvoeren van de taak alleen de ondersteunde IOC-bestanden. Als bij het maken van een IOC-scantaak op de opdrachtregel blijkt dat alle IOC-bestanden die u uploadt niet worden ondersteund, kan de taak nog steeds worden uitgevoerd, maar worden er geen compromisindicatoren gedetecteerd. Het is niet mogelijk om niet-ondersteunde IOC-bestanden te uploaden met behulp van Webconsole of Cloud Console.
  • Semantische fouten en niet-ondersteunde IOC-termen en -tags in IOC-bestanden zorgen er niet voor dat de taakuitvoering mislukt. In dergelijke secties van IOC-bestanden detecteert het programma geen overeenkomst.
  • De ID's van alle IOC files gebruikt in een enkele IOC-scantaak moeten uniek zijn. Als er IOC-bestanden zijn met dezelfde ID, kan dit van invloed zijn op de resultaten van de taakuitvoering.
  • Een enkel IOC-bestand mag niet groter zijn dan 2 MB. Grotere bestanden beëindigen IOC-scantaken met een fout. De totale grootte van alle bestanden die worden toegevoegd aan de IOC collectie mag niet groter zijn dan 10 MB. Als de totale grootte van alle bestanden groter is dan 10 MB, moet u de collectie IOC's opsplitsen en meerdere IOC-scan-taken maken.
  • Het wordt aanbevolen om één IOC-bestand per bedreiging te maken. Dit maakt het gemakkelijker om de resultaten van de IOC Scan-taak te analyseren.

Het bestand dat u kunt downloaden door op de onderstaande koppeling te klikken, bevat een tabel met de volledige lijst met IOC-voorwaarden van de OpenIOC-norm.

IOC_TERMS.XLSX DOWNLOADEN

Functies en beperkingen van de programma-ondersteuning voor de OpenIOC-standaard worden weergegeven in de volgende tabel.

Functies en beperkingen van de ondersteuning voor OpenIOC versie 1.0 en 1.1.

Ondersteunde condities

OpenIOC 1.0:

is

isnot (als uitzondering van de set)

contains

containsnot (als uitzondering van de set)

OpenIOC 1.1:

is

contains

starts-with

ends-with

matches

greater-than

less-than

Ondersteunde conditie-attributen

OpenIOC 1.1:

preserve-case

negate

Ondersteunde operators

AND

OR

Ondersteunde gegevenstypes

"date": datum (toepasselijke condities: is, greater-than, less-than)

"int": integer (toepasselijke condities: is, greater-than, less-than)

"string": string (toepasselijke condities: is, contains, matches, starts-with, ends-with)

"duration": duur in seconden (toepasselijke condities: is, greater-than, less-than)

Kenmerken van interpretatie van gegevenstype

De gegevenstypes "boolean string", "restricted string", "md5", "IP", "sha256" en "base64Binary" worden geïnterpreteerd als string.

Het programma ondersteunt de interpretatie van de instelling Content voor de gegevenstypes int en date wanneer het is ingesteld in de vorm van intervallen:

OpenIOC 1.0:

Met de operator TO in het veld Content:

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1:

Met de condities greater-than en less-than

Met de operator TO in het veld Content

Het programma ondersteunt interpretatie van de gegevenstypes date en duration als de indicators ingesteld zijn in het formaat ISO 8601, Zulu Time Zone, UTC.

Vond je dit artikel nuttig?
Wat kunnen we beter doen?
Bedankt voor je feedback! Je helpt ons verbeteren.
Bedankt voor je feedback! Je helpt ons verbeteren.