附錄 10。IOC 檔案要求

支援

企業解決方案支援

Kaspersky Endpoint Security 12 for Windows

附錄

附錄 10。IOC 檔案要求

2024年2月14日

ID 220828

另存為 PDF

當建立 IOC 掃描工作時，請考量以下 IOC 檔案要求和限制：

應用程式在用於描述洩露指示器的開放標準 OpenIOC 版本 1.0 和 1.1 中支援具有 IOC 和 XML 延伸程式的 IOC 檔案。
如果用命令行建立 IOC 掃描 工作時上傳 IOC 檔案而其中一些不受支援，當執行工作時，應用程式將僅使用受支援的 IOC 檔案。如果用命令行建立 IOC 掃描工作時您上傳的所有 IOC 檔案不受支援，工作仍然可以被執行，但是將不會偵測任何洩露指示器。無法使用網頁主控台或雲端主控台上傳不受支援的 IOC 檔案。
語義錯誤和不受支援的 IOC 字詞以及 IOC 檔案中的標籤不會引起工作執行失敗。在 IOC 檔案的此類區域中，應用程式會偵測到不符合。
在單個 IOC 掃描工作中使用的所有 IOC 檔案的識別碼必須為唯一。如果有識別碼一樣的 IOC 檔案，它可能會影響工作執行結果。
IOC 檔案識別碼範例：

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
單個 IOC 檔案的大小不得超過 2 MB。使用更大的檔案將引起 IOC 掃描工作以錯誤終止。新增至 IOC 集合的所有檔案的總大小不應該超過 10 MB。如果所有檔案的總大小超過 10 Mb，則需要拆分 IOC 集合並建立多個 IOC 掃描工作。
建議為每個威脅建立一個 IOC 檔案。這會讓分析 IOC 掃描工作的結果更容易。

您可以點擊下面的連接下載該檔案，它包含一個表格，其中有 OpenIOC 標準的 IOC 字詞完整清單。

下載 IOC_TERMS.XLSX 檔案

應用程式對 OpenIOC 標準支援的功能和限制顯示在下表中。

對 OpenIOC 版本 1.0 和 1.1 支援的功能和限制。

受支援條件	OpenIOC 1.0: `是` `不是` （作為集合中的例外） `包含` `不包含`（作為集合中的例外） OpenIOC 1.1: `是` `包含` `始於` `終於` `符合` `大於` `小於`
受支援條件屬性	OpenIOC 1.1: `保留大小寫` `否定`
受支援運算子	`AND（“與”）` `OR（“或”）`
受支援資料類型	`"date"`:日期（適用條件：`是`，`大於`，`小於`） `“int"`:整數（適用條件：`是`，`大於`，`小於`） `"string"`: 字串（適用條件：`是`，`包含`，`符合`，`始於`，`終於`） `"duration"`:以秒為單位的持續時間（適用條件：`是，大於，小於`）
資料類型解譯的功能	`“boolean 字串”`、`”受限字串”`、 `“md5”`、`”IP”`、 `“sha256”` 和 `“base64Binary”` 資料類型被解譯為字串。當 `int` 和 `date` 資料類型的“`內容`”設定以間隔的形式設定時，應用程式支援其解譯： OpenIOC 1.0: 使用“`內容`”欄位中的“`TO`”運算子： `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: 使用“`大於`”和“`小於`”條件使用“`內容`”欄位中的“`TO`”運算子如果指示器設定格式為 `ISO 8601, Zulu Time Zone, UTC`，則應用程式支援”`date`”和”`duration`”資料類型的解譯。

此文章對您有幫助嗎？

我們可以如何改善？

感謝您的意見回饋！您正協助我們改善。