Anexo 4. Requisitos para IOC file
Ao criar tarefas de Verificação IOC, tenha em consideração os seguintes requisitos para IOC file e limitações:
- A aplicação suporta ficheiros IOC com as extensões IOC e XML nas versões 1.0 e 1.1 do padrão aberto OpenIOC para a descrição dos indicadores de comprometimento.
- Se durante a criação da tarefa Verificação IOC na linha de comandos tiver carregado IOC files (alguns dos quais não são suportados), a aplicação utiliza apenas os IOC files suportados ao executar a tarefa. Se durante a criação da tarefa Verificação IOC na linha de comandos, todos os IOC files que carregar se revelarem não serem suportados, a tarefa continuará a poder ser executada, mas não serão detetados quaisquer indicadores de compromisso. Não é possível carregar ficheiros IOC não suportados utilizando a Consola Web ou a Cloud Console.
- Os erros semânticos e as etiquetas e os termos IOC não suportados em IOC files não levam à falha na execução da tarefa. Em tais secções de IOC files, a aplicação não deteta qualquer correspondência.
- Os identificadores de todos os IOC files utilizados numa única tarefa Verificação IOC devem ser únicos. Se existirem IOC files com o mesmo identificador, tal pode afetar os resultados da execução da tarefa.
- Um único IOC file não deve exceder 2 MB. A utilização de ficheiros maiores irá fazer com que as tarefas Verificação IOC terminem com um erro. O tamanho total de todos os ficheiros adicionados à coleção IOC não deve exceder os 10 MB. Se o tamanho total de todos os ficheiros exceder 10 MB, terá de dividir a coleção IOC e criar várias tarefas Verificação IOC.
- É recomendado criar um IOC file por ameaça. Tal facilita a análise dos resultados da tarefa Verificação IOC.
O ficheiro que transfere através da ligação abaixo contém uma tabela com a lista completa dos termos IOC do padrão OpenIOC.
TRANSFERIR O FICHEIRO IOC_TERMS.XLSX
As funcionalidades e limitações de suporte da aplicação para o padrão OpenIOC são apresentadas na seguinte tabela.
Funcionalidades e limitações de suporte para OpenIOC versão 1.0 e 1.1.
Condições suportadas | OpenIOC 1.0:
OpenIOC 1.1:
|
Atributos da condição suportados | OpenIOC 1.1:
|
Operadores suportados |
|
Tipos de dados suportados |
|
Funcionalidades da interpretação de tipos de dados | Os tipos de dados A aplicação suporta a interpretação do campo OpenIOC 1.0: Utilizar o operador
OpenIOC 1.1: Utilizar as condições Utilizar o operador A aplicação suporta a intrepretação dos tipos de dados |