Anexa 11. Cerințe privind fișierele IOC

Suport

Suport pentru soluții pentru companii

Kaspersky Endpoint Security 11 for Windows

Anexe

Anexa 11. Cerințe privind fișierele IOC

20 iulie 23

ID 220828

Salvează ca PDF

Când creați activități de Scanare IOC, țineți cont de următoarele cerințe și limitări privind fișierul IOC:

Kaspersky Endpoint Detection and Response Optimum acceptă fișiere IOC cu extensiile IOC și XML în standardul deschis OpenIOC versiunile 1.0 și 1.1 pentru descrierea indicatorilor de compromitere.
Dacă în timpul creării activității Scanare IOC încărcați fișiere IOC, unele dintre acestea nefiind acceptate, atunci când activitatea este executată, aplicația utilizează numai fișierele IOC acceptate.
Dacă în timpul creării activității Scanare IOC încărcați numai fișiere IOC acceptate, activitatea poate fi executată, dar nu va fi detectat niciun indicator de compromitere.
Erorile semantice și termenii și etichetele IOC neacceptate nu determină eșuarea executării activității. În astfel de secțiuni ale fișierelor IOC, aplicația nu detectează nicio potrivire.
Identificatorii tuturor fișierelor IOC utilizați într-o activitate unică Scanare IOC trebuie să fie unici. Dacă există fișiere IOC cu același identificator, acest lucru ar putea afecta rezultatele executării activității.
Exemplu de identificator de fișier IOC file:

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
Un fișier IOC nu trebuie să aibă o dimensiune mai mare de 3 MO. Utilizarea unor fișieri mai mare va face ca activitatea Scanare IOC să se finalizeze cu o eroare. Prin urmare, dimensiunea totală a tuturor fișierelor adăugate la colecția IOC poate depăși 3 MO.
Este recomandat să creați un fișier IOC per amenințare. Acest lucru facilitează analizarea rezultatelor activității Scanare IOC.

Fișierul pe care îl puteți descărca făcând clic pe linkul de mai jos, conține un tabel cu lista completă a termenilor IOC din standardul OpenIOC care sunt acceptate de soluția Kaspersky Endpoint Detection and Response.

DESCĂRCAȚI FIȘIERUL IOC_TERMS.XLSX

Caracteristicile și limitările acceptării de către aplicație a standardului OpenIOC sunt prezentate în tabelul următor.

Caracteristicile și limitările acceptării OpenIOC versiunile 1.0 și 1.1.

Condiții acceptate	OpenIOC 1.0: `is` `isnot` (ca excepție de la set) `contains` `containsnot` (ca excepție de la set) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Atribute condiție acceptate	OpenIOC 1.1: `preserve-case` `negate`
Operatori acceptați	`AND` `OR`
Tipuri de date acceptate	`"date"`: data (condiții aplicabile: `is`, `greater-than`, `less-than`) `"int"`: număr întreg (condiții aplicabile: `is`, `greater-than`, `less-than`) `"string"`: șir (condiții aplicabile: `is`, `contains`, `matches`, `starts-with`, `ends-with`) `"duration"`: durata în secunde (condiții aplicabile: `is, greater-than, less-than`)
Caracteristici ale interpretării tipului de date	Tipurile de date `"boolean string"`, `"restricted string"`, `"md5"`, `"IP"`, `"sha256"` și `"base64Binary"` sunt interpretate ca șir. Aplicația acceptă interpretarea setării pentru `Content` pentru tipurile de date `int` și `date` când este setată sub formă de intervale: OpenIOC 1.0: Utilizarea operatorului `TO` în câmpul`Content`: `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: Utilizarea condițiilor `greater-than` și `less-than` Utilizarea operatorului `TO` în câmpul`Content` Aplicația acceptă interpretarea tipurilor de date `date` și `duration` dacă indicatorii sunt setați în format `ISO 8601, Zulu Time Zone, UTC`.

Acest articol v-a fost util?

Ce putem îmbunătăți?

Mulțumim pentru feedback! Ne ajuți să devenim mai buni.