Phụ lục 10. Các yêu cầu của tập tin IOC

Hỗ trợ

Hỗ trợ các Giải pháp doanh nghiệp

Kaspersky Endpoint Security 12 cho Windows

Phụ lục

Phụ lục 10. Các yêu cầu của tập tin IOC

14 Tháng Hai, 2024

ID 220828

Lưu thành PDF

Khi tạo các tác vụ Quét IOC, hãy xem xét các yêu cầu và hạn chế của tập tin IOC sau:

Ứng dụng hỗ trợ các tập tin IOC có phần mở rộng IOC và XML trong phiên bản OpenIOC tiêu chuẩn mở 1.0 và 1.1 để mô tả các dấu hiệu về sự xâm nhập.
Nếu khi tạo một tác vụ Quét IOC trên dòng lệnh, bạn tải lên các tập tin IOC, một số tập tin trong số đó không được hỗ trợ thì khi tác vụ được chạy, ứng dụng chỉ sử dụng các tập tin IOC được hỗ trợ. Nếu khi tạo một tác vụ Quét IOC trên dòng lệnh, tất cả các tập tin IOC mà bạn tải lên hóa ra không được hỗ trợ thì bạn vẫn có thể chạy tác vụ đó, nhưng sẽ không có bất kỳ dấu hiệu về sự xâm nhập nào được phát hiện. Không thể tải lên các tập tin IOC không được hỗ trợ bằng Bảng điều khiển web hoặc Bảng điều khiển đám mây.
Quá trình thực thi tác vụ vẫn diễn ra thành công dù có các lỗi ngữ nghĩa và các từ và thẻ IOC không được hỗ trợ trong tập tin IOC. Trong các phần như vậy của tập tin IOC, ứng dụng không phát hiện thấy sự trùng khớp nào.
Mã định danh của tất cả các tập tin IOC được sử dụng trong một tác vụ Quét IOC phải có tính duy nhất. Nếu có các tập tin IOC có cùng số mã định danh thì điều đó có thể ảnh hưởng đến kết quả thực thi tác vụ.
Ví dụ về một mã định danh tập tin IOC:

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
Một tập tin IOC không được có kích thước vượt quá 2 MB. Việc sử dụng các tập tin lớn hơn sẽ khiến các tác vụ Quét IOC kết thúc bằng một lỗi. Tổng dung lượng của tất cả các tập tin được thêm vào bộ sưu tập IOC không được vượt quá 10 MB. Nếu tổng dung lượng của tất cả các tập tin vượt quá 10 MB, bạn cần chia bộ sưu tập IOC và tạo vài tác vụ Quét IOC.
Bạn nên tạo một tập tin IOC cho mỗi mối đe dọa. Điều này giúp cho việc phân tích kết quả của tác vụ Quét IOC được dễ dàng hơn.

Tập tin mà bạn có thể tải về bằng cách nhấn vào liên kết bên dưới, có chứa một bảng kèm danh sách đầy đủ các từ của tiêu chuẩn OpenIOC.

TẢI XUỐNG TẬP TIN IOC_TERMS.XLSX

Các tính năng và giới hạn hỗ trợ của ứng dụng đối với tiêu chuẩn OpenIOC được hiển thị trong bảng sau.

Các tính năng và giới hạn của hỗ trợ OpenIOC phiên bản 1.0 và 1.1.

Các điều kiện được hỗ trợ	OpenIOC 1.0: `is` `isnot` (là một ngoại lệ của tập hợp) `contains` `containsnot` (là một ngoại lệ của tập hợp) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Các thuộc tính điều kiện được hỗ trợ	OpenIOC 1.1: `preserve-case` `negate`
Các toán tử được hỗ trợ	`AND` `OR`
Các kiểu dữ liệu được hỗ trợ	`"date"`: ngày tháng (điều kiện áp dụng: `is`, `greater-than`, `less-than`) `"int"`: số nguyên (điều kiện áp dụng: `is`, `greater-than`, `less-than`) `"string"`: xâu ký tự (điều kiện áp dụng: `is`, `contains`, `matches`, `starts-with`, `ends-with`) `"duration"`: thời lượng tính bằng giây (điều kiện áp dụng: `is, greater-than, less-than`)
Các tính năng thông dịch kiểu dữ liệu	Các kiểu dữ liệu `"boolean string"`, `"restricted string"`, `"md5"`, `"IP"`, `"sha256"` và `"base64Binary"` được thông dịch dưới dạng xâu ký tự. Ứng dụng hỗ trợ thông dịch thiết lập `Content` cho các kiểu dữ liệu `int` và `date` khi nó được đặt theo dạng khoảng thời gian: OpenIOC 1.0: Sử dụng toán tử `TO` trong trường `Content`: `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: Sử dụng các điều kiện `greater-than` và `less-than` Sử dụng toán tử `TO` trong trường `Content` Ứng dụng hỗ trợ thông dịch các kiểu dữ liệu `date` và `duration` nếu các dấu hiệu được đặt theo định dạng `ISO 8601, Zulu Time Zone, UTC`.

Bạn có thấy bài viết này hữu ích không?

Chúng tôi có thể cải thiện điều gì không?

Cảm ơn bạn đã gửi phản hồi! Bạn đang giúp chúng tôi cải tiến.