Appendice 11. Requisiti del file IOC
Quando si creano attività Scansione IOC, è necessario tenere conto dei seguenti requisiti e limitazioni dei file IOC:
- Kaspersky Endpoint Detection and Response Optimum supporta i file con estensioni IOC e XML nello standard aperto OpenIOC versioni 1.0 e 1.1 per la descrizione degli indicatori di compromissione.
- Se durante la creazione dell'attività Scansione IOC si caricano file IOC, alcuni dei quali non supportati, quando l'attività viene eseguita, l'applicazione utilizza solo i file IOC supportati.
- Se durante la creazione dell'attività Scansione IOC si caricano solo file IOC non supportati, l'attività può comunque essere eseguita, ma non verrà rilevato alcun indicatore di compromissione.
- Gli errori semantici e i termini e i tag IOC non supportati nei file IOC non causano la mancata riuscita dell'esecuzione dell'attività. In tali sezioni dei file IOC, l'applicazione non rileva alcuna corrispondenza.
- Gli identificatori di tutti i file IOC utilizzati in una singola attività Scansione IOC devono essere univoci. Se sono presenti file IOC con lo stesso identificatore, potrebbe influire sui risultati dell'esecuzione dell'attività.
- Un singolo file IOC non deve avere dimensioni superiori a 3 MB. L'utilizzo di file più grandi causerà l'interruzione delle attività Scansione IOC con un errore. Detto questo, la dimensione finale di tutti i file aggiunti alla raccolta IOC può superare i 3 MB.
- È consigliabile creare un unico file IOC per minaccia. In questo modo, l'analisi dei risultati dell'attività Scansione IOC viene semplificata.
Il file che è possibile scaricare facendo clic sul collegamento sottostante contiene una tabella con l'elenco completo dei termini IOC dello standard OpenIOC supportati dalla soluzione Kaspersky Endpoint Detection and Response.
DOWNLOAD DEL FILE IOC_TERMS.XLSX
Le funzionalità e le limitazioni del supporto dell'applicazione dello standard OpenIOC sono mostrate nella seguente tabella.
Funzionalità e limitazioni del supporto di OpenIOC versioni 1.0 e 1.1.
Condizioni supportate | OpenIOC 1.0:
OpenIOC 1.1:
|
Attributi di condizioni supportate | OpenIOC 1.1:
|
Operatori supportati |
|
Tipi di dati supportati |
|
Funzionalità dell'interpretazione dei tipi di dati | I tipi di dati L'applicazione supporta l'interpretazione dell'impostazione OpenIOC 1.0: Utilizzo dell'operatore
OpenIOC 1.1: Utilizzo delle condizioni Utilizzo dell'operatore L'applicazione supporta l'interpretazione dei tipi di dati |