Anexa 4. Cerințe privind fișierele IOC
Când creați activități de Scanare IOC, țineți cont de următoarele cerințe și limitări privind fișierul IOC:
- Aplicația acceptă fișiere IOC cu extensiile IOC și XML în standardul deschis OpenIOC versiunile 1.0 și 1.1 pentru descrierea indicatorilor de compromitere.
- Dacă în timpul creării unei activități Scanare IOC în linia de comandă, încărcați fișiere IOC, unele dintre acestea nefiind acceptate, atunci când activitatea este executată, aplicația utilizează numai fișierele IOC acceptate. Dacă în timpul creării unei activități Scanare IOC în linia de comandă, toate fișierele IOC pe care le încărcați rezultă că nu sunt acceptate, activitatea poate fi totuși executată, dar nu va detecta niciun indicator de compromitere. Nu este posibilă încărcarea fișierelor IOC neacceptate folosind Web Console sau Cloud Console.
- Erorile semantice și termenii și etichetele IOC neacceptate nu determină eșuarea executării activității. În astfel de secțiuni ale fișierelor IOC, aplicația nu detectează nicio potrivire.
- Identificatorii tuturor fișierelor IOC utilizați într-o activitate unică Scanare IOC trebuie să fie unici. Dacă există fișiere IOC cu același identificator, acest lucru ar putea afecta rezultatele executării activității.
- Un singur fișier IOC nu trebuie să aibă o dimensiune mai mare de 2 MO. Utilizarea unor fișiere mai mari va face ca activitatea Scanare IOC să se finalizeze cu o eroare. Dimensiunea totală a tuturor fișierelor adăugate la colecția IOC nu poate depăși 10 MO. Dacă dimensiunea totală a tuturor fișierelor depășește 10 MO, trebuie să divizați colecția IOC și să creați mai multe activități Scanare IOC.
- Este recomandat să creați un fișier IOC per amenințare. Acest lucru facilitează analizarea rezultatelor activității Scanare IOC.
Fișierul pe care îl puteți descărca făcând clic pe linkul de mai jos, conține un tabel cu lista completă a termenilor IOC din standardul OpenIOC.
DESCĂRCAȚI FIȘIERUL IOC_TERMS.XLSX
Caracteristicile și limitările acceptării de către aplicație a standardului OpenIOC sunt prezentate în tabelul următor.
Caracteristicile și limitările acceptării OpenIOC versiunile 1.0 și 1.1.
Condiții acceptate | OpenIOC 1.0:
OpenIOC 1.1:
|
Atribute condiție acceptate | OpenIOC 1.1:
|
Operatori acceptați |
|
Tipuri de date acceptate |
|
Caracteristici ale interpretării tipului de date | Tipurile de date Aplicația acceptă interpretarea setării pentru OpenIOC 1.0: Utilizarea operatorului
OpenIOC 1.1: Utilizarea condițiilor Utilizarea operatorului Aplicația acceptă interpretarea tipurilor de date |