Anexo 10. Requisitos para IOC file

Apoio

Suporte técnico para soluções empresariais

Kaspersky Endpoint Security 12 for Windows

Apêndices

Anexo 10. Requisitos para IOC file

14 de fevereiro de 2024

ID 220828

Guardar como PDF

Ao criar tarefas de Verificação IOC, tenha em consideração os seguintes requisitos para IOC file e limitações:

A aplicação suporta ficheiros IOC com as extensões IOC e XML nas versões 1.0 e 1.1 do padrão aberto OpenIOC para a descrição dos indicadores de comprometimento.
Se durante a criação da tarefa Verificação IOC na linha de comandos tiver carregado IOC files (alguns dos quais não são suportados), a aplicação utiliza apenas os IOC files suportados ao executar a tarefa. Se durante a criação da tarefa Verificação IOC na linha de comandos, todos os IOC files que carregar se revelarem não serem suportados, a tarefa continuará a poder ser executada, mas não serão detetados quaisquer indicadores de compromisso. Não é possível carregar ficheiros IOC não suportados utilizando a Consola Web ou a Cloud Console.
Os erros semânticos e as etiquetas e os termos IOC não suportados em IOC files não levam à falha na execução da tarefa. Em tais secções de IOC files, a aplicação não deteta qualquer correspondência.
Os identificadores de todos os IOC files utilizados numa única tarefa Verificação IOC devem ser únicos. Se existirem IOC files com o mesmo identificador, tal pode afetar os resultados da execução da tarefa.
Exemplo de um identificador de IOC file:

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
Um único IOC file não deve exceder 2 MB. A utilização de ficheiros maiores irá fazer com que as tarefas Verificação IOC terminem com um erro. O tamanho total de todos os ficheiros adicionados à coleção IOC não deve exceder os 10 MB. Se o tamanho total de todos os ficheiros exceder 10 MB, terá de dividir a coleção IOC e criar várias tarefas Verificação IOC.
É recomendado criar um IOC file por ameaça. Tal facilita a análise dos resultados da tarefa Verificação IOC.

O ficheiro que transfere através da ligação abaixo contém uma tabela com a lista completa dos termos IOC do padrão OpenIOC.

TRANSFERIR O FICHEIRO IOC_TERMS.XLSX

As funcionalidades e limitações de suporte da aplicação para o padrão OpenIOC são apresentadas na seguinte tabela.

Funcionalidades e limitações de suporte para OpenIOC versão 1.0 e 1.1.

Condições suportadas	OpenIOC 1.0: `is` `isnot` (as an exception from the set) `contains` `containsnot` (as an exception from the set) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Atributos da condição suportados	OpenIOC 1.1: `preserve-case` `negate`
Operadores suportados	`AND` `OR`
Tipos de dados suportados	`"date"`: data (condições aplicáveis: `is`, `greater-than`, `less-than`) `"int"`: número inteiro (condições aplicáveis: `is`, `greater-than`, `less-than`) `"string"`: cadeia (condições aplicáveis: `is`, `contains`, `matches`, `starts-with`, `ends-with`) `"duration"`: duração em segundos (condições aplicáveis: `is, greater-than, less-than`)
Funcionalidades da interpretação de tipos de dados	Os tipos de dados `"boolean string"`, `"restricted string"`, `"md5"`, `"IP"`, `"sha256"` e `"base64Binary"` são interpretados como uma cadeia. A aplicação suporta a interpretação do campo `Content` para os tipos de dados `int` e `date` sempre que seja apresentado na forma de intervalos: OpenIOC 1.0: Utilizar o operador `TO` no campo `Content`: `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: Utilizar as condições `greater-than` e `greater-than` Utilizar o operador `TO` no campo `Content` A aplicação suporta a intrepretação dos tipos de dados `date` e `duration`, se os indicadores estiverem definidos no formato `ISO 8601, Zulu Time Zone, UTC`.

Achou este artigo útil?

O que podemos melhorar?

Agradecemos o seu comentário! Está a ajudar-nos a melhorar.