Anexa 11. Cerințe privind fișierele IOC
Când creați activități de Scanare IOC, țineți cont de următoarele cerințe și limitări privind fișierul IOC:
- Kaspersky Endpoint Detection and Response Optimum acceptă fișiere IOC cu extensiile IOC și XML în standardul deschis OpenIOC versiunile 1.0 și 1.1 pentru descrierea indicatorilor de compromitere.
- Dacă în timpul creării activității Scanare IOC încărcați fișiere IOC, unele dintre acestea nefiind acceptate, atunci când activitatea este executată, aplicația utilizează numai fișierele IOC acceptate.
- Dacă în timpul creării activității Scanare IOC încărcați numai fișiere IOC acceptate, activitatea poate fi executată, dar nu va fi detectat niciun indicator de compromitere.
- Erorile semantice și termenii și etichetele IOC neacceptate nu determină eșuarea executării activității. În astfel de secțiuni ale fișierelor IOC, aplicația nu detectează nicio potrivire.
- Identificatorii tuturor fișierelor IOC utilizați într-o activitate unică Scanare IOC trebuie să fie unici. Dacă există fișiere IOC cu același identificator, acest lucru ar putea afecta rezultatele executării activității.
- Un fișier IOC nu trebuie să aibă o dimensiune mai mare de 3 MO. Utilizarea unor fișieri mai mare va face ca activitatea Scanare IOC să se finalizeze cu o eroare. Prin urmare, dimensiunea totală a tuturor fișierelor adăugate la colecția IOC poate depăși 3 MO.
- Este recomandat să creați un fișier IOC per amenințare. Acest lucru facilitează analizarea rezultatelor activității Scanare IOC.
Fișierul pe care îl puteți descărca făcând clic pe linkul de mai jos, conține un tabel cu lista completă a termenilor IOC din standardul OpenIOC care sunt acceptate de soluția Kaspersky Endpoint Detection and Response.
DESCĂRCAȚI FIȘIERUL IOC_TERMS.XLSX
Caracteristicile și limitările acceptării de către aplicație a standardului OpenIOC sunt prezentate în tabelul următor.
Caracteristicile și limitările acceptării OpenIOC versiunile 1.0 și 1.1.
Condiții acceptate | OpenIOC 1.0:
OpenIOC 1.1:
|
Atribute condiție acceptate | OpenIOC 1.1:
|
Operatori acceptați |
|
Tipuri de date acceptate |
|
Caracteristici ale interpretării tipului de date | Tipurile de date Aplicația acceptă interpretarea setării pentru OpenIOC 1.0: Utilizarea operatorului
OpenIOC 1.1: Utilizarea condițiilor Utilizarea operatorului Aplicația acceptă interpretarea tipurilor de date |