Appendice 10. Requisiti del file IOC
Quando si creano attività Scansione IOC, è necessario tenere conto dei seguenti requisiti e limitazioni dei file IOC:
- L'applicazione supporta i file con estensioni IOC e XML nello standard aperto OpenIOC versioni 1.0 e 1.1 per la descrizione degli indicatori di compromissione.
- Se, durante la creazione di un'attività Scansione IOC nella riga di comando, si caricano file IOC, alcuni dei quali non supportati, quando l'attività viene eseguita, l'applicazione utilizza solo i file IOC supportati. Se, durante la creazione di un'attività Scansione IOC sulla riga di comando, tutti i file IOC caricati risultano non supportati, l'attività può essere comunque eseguita, ma non rileverà alcun indicatore di compromissione. Non è possibile caricare file IOC non supportati utilizzando Web Console o Cloud Console.
- Gli errori semantici e i termini e i tag IOC non supportati nei file IOC non causano la mancata riuscita dell'esecuzione dell'attività. In tali sezioni dei file IOC, l'applicazione non rileva alcuna corrispondenza.
- Gli identificatori di tutti i file IOC utilizzati in una singola attività Scansione IOC devono essere univoci. Se sono presenti file IOC con lo stesso identificatore, potrebbe influire sui risultati dell'esecuzione dell'attività.
- Un singolo file IOC non deve avere dimensioni superiori a 2 MB. L'utilizzo di file più grandi causerà l'interruzione delle attività Scansione IOC con un errore. La dimensione finale di tutti i file aggiunti alla raccolta IOC non deve superare i 10 MB. Se la dimensione totale di tutti i file supera i 10 MB, è necessario suddividere la raccolta IOC e creare diverse attività Scansione IOC.
- È consigliabile creare un unico file IOC per minaccia. In questo modo, l'analisi dei risultati dell'attività Scansione IOC viene semplificata.
Il file che è possibile scaricare facendo clic sul collegamento sottostante contiene una tabella con l'elenco completo dei termini IOC dello standard OpenIOC.
DOWNLOAD DEL FILE IOC_TERMS.XLSX
Le funzionalità e le limitazioni del supporto dell'applicazione dello standard OpenIOC sono mostrate nella seguente tabella.
Funzionalità e limitazioni del supporto di OpenIOC versioni 1.0 e 1.1.
Condizioni supportate | OpenIOC 1.0:
OpenIOC 1.1:
|
Attributi di condizioni supportate | OpenIOC 1.1:
|
Operatori supportati |
|
Tipi di dati supportati |
|
Funzionalità dell'interpretazione dei tipi di dati | I tipi di dati L'applicazione supporta l'interpretazione dell'impostazione OpenIOC 1.0: Utilizzo dell'operatore
OpenIOC 1.1: Utilizzo delle condizioni Utilizzo dell'operatore L'applicazione supporta l'interpretazione dei tipi di dati |