Dodatek 10. Wymagania pliku IOC

Pomoc techniczna

Pomoc dla biznesu

Kaspersky Endpoint Security 12 for Windows

Dodatki

Dodatek 10. Wymagania pliku IOC

14 lutego 2024

ID 220828

Zapisz jako PDF

Podczas tworzenia zadań Skanowanie IOC rozważ następujące ograniczenia i wymagania pliku IOC:

Aplikacja obsługuje pliki IOC z rozszerzeniami IOC i XML w otwartym standardzie OpenIOC w wersjach 1.0 i 1.1 dla opisania wskaźników naruszeń bezpieczeństwa.
Jeśli podczas tworzenia zadania Skanowanie IOC w wierszu polecenia przesłałeś pliki IOC, z których niektóre nie są obsługiwane, gdy zadanie jest uruchomione, aplikacja używa tylko obsługiwanych plików IOC. Jeśli podczas tworzenia zadania Skanowanie IOC w wierszu polecenia wszystkie pliki IOC, które przesyłasz, okażą się nieobsługiwane, zadanie wciąż może być uruchomione, ale nie wykryje żadnych wskaźników naruszeń bezpieczeństwa. Nie jest możliwe przesłanie nieobsługiwanych plików IOC przy użyciu konsoli Web Console lub Cloud Console.
Błędy semantyczne i nieobsługiwane warunki IOC i znaczniki w plikach IOC nie powodują błędu wykonania zadania. W takich sekcjach plików IOC aplikacja nie wykrywa dopasowania.
Identyfikatory wszystkich plików IOC używane w pojedynczym zadaniu Skanowanie IOC muszą być unikatowe. Jeśli istnieją pliki IOC z takim samym identyfikatorem, mogą wpłynąć na wyniki wykonania zadania.
Przykład identyfikatora pliku IOC:

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
Rozmiar pojedynczego pliku IOC nie może przekraczać 2 MB. Używanie większych plików spowoduje zakończenie zadania Skanowanie IOC z błędem. Całkowity rozmiar wszystkich plików dodanych do zbioru IOC nie może przekroczyć 10 MB. Jeżeli łączny rozmiar wszystkich plików przekracza 10 MB, należy podzielić kolekcję IOC i utworzyć kilka zadań Skanowanie IOC.
Zalecane jest utworzenie jednego pliku IOC na zagrożenie. To ułatwia analizowanie wyników zadania Skanowanie IOC.

Plik, który możesz pobrać, klikając poniższy odnośnik, zawiera tabelę z pełną listą warunków IOC standardu OpenIOC.

POBIERZ PLIK IOC_TERMS.XLSX

Funkcje i ograniczenia obsługi aplikacji dla standardu OpenIOC są wyświetlone w poniższej tabeli.

Funkcje i ograniczenia obsługi OpenIOC w wersji 1.0 i 1.1.

Obsługiwane warunki	OpenIOC 1.0: `is` `isnot` (jako wyjątek z zestawu) `contains` `containsnot` (jako wyjątek z zestawu) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Obsługiwane atrybuty warunku	OpenIOC 1.1: `preserve-case` `negate`
Obsługiwane operatory	`ORAZ` `LUB`
Obsługiwane typy danych	`"date"`: data (stosowane warunki: `is`, `greater-than`, `less-than`) `"int"`: liczba całkowita (stosowane warunki: `is`, `greater-than`, `less-than`) `"string"`: ciąg znaków (stosowane warunki: `is`, `contains`, `matches`, `starts-with`, `ends-with`) `"duration"`: czas trwania w sekundach (stosowane warunki: `is, greater-than, less-than`)
Funkcje interpretacji typu danych	Typy danych `"boolean string"`, `"restricted string"`, `"md5"`, `"IP"`, `"sha256"` i `"base64Binary"` są interpretowane jako ciąg znaków. Aplikacja obsługuje interpretację ustawienia `Zawartość` dla typów danych `int` i `date`, gdy jest ona ustawiona w postaci przedziałów czasu: OpenIOC 1.0: Przy użyciu operatora `TO` w polu `Content`: `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: Przy użyciu warunków `greater-than` i `less-than` Przy użyciu operatora `TO` w polu `Content` Aplikacja obsługuje interpretację typów danych `date` i `duration`, jeśli wskaźniki są ustawione w formacie `ISO 8601, Zulu Time Zone, UTC`.

Czy ten artykuł był pomocny?

Co możemy zrobić lepiej?

Dziękujemy za opinię! Dzięki niej możemy stawać się lepsi.