Appendice 10. Requisiti del file IOC

Assistenza tecnica

Assistenza tecnica per clienti business

Kaspersky Endpoint Security 12 for Windows

Appendici

Appendice 10. Requisiti del file IOC

14 febbraio 2024

ID 220828

Salva come PDF

Quando si creano attività Scansione IOC, è necessario tenere conto dei seguenti requisiti e limitazioni dei file IOC:

L'applicazione supporta i file con estensioni IOC e XML nello standard aperto OpenIOC versioni 1.0 e 1.1 per la descrizione degli indicatori di compromissione.
Se, durante la creazione di un'attività Scansione IOC nella riga di comando, si caricano file IOC, alcuni dei quali non supportati, quando l'attività viene eseguita, l'applicazione utilizza solo i file IOC supportati. Se, durante la creazione di un'attività Scansione IOC sulla riga di comando, tutti i file IOC caricati risultano non supportati, l'attività può essere comunque eseguita, ma non rileverà alcun indicatore di compromissione. Non è possibile caricare file IOC non supportati utilizzando Web Console o Cloud Console.
Gli errori semantici e i termini e i tag IOC non supportati nei file IOC non causano la mancata riuscita dell'esecuzione dell'attività. In tali sezioni dei file IOC, l'applicazione non rileva alcuna corrispondenza.
Gli identificatori di tutti i file IOC utilizzati in una singola attività Scansione IOC devono essere univoci. Se sono presenti file IOC con lo stesso identificatore, potrebbe influire sui risultati dell'esecuzione dell'attività.
Esempio di un identificatore di file IOC:

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
Un singolo file IOC non deve avere dimensioni superiori a 2 MB. L'utilizzo di file più grandi causerà l'interruzione delle attività Scansione IOC con un errore. La dimensione finale di tutti i file aggiunti alla raccolta IOC non deve superare i 10 MB. Se la dimensione totale di tutti i file supera i 10 MB, è necessario suddividere la raccolta IOC e creare diverse attività Scansione IOC.
È consigliabile creare un unico file IOC per minaccia. In questo modo, l'analisi dei risultati dell'attività Scansione IOC viene semplificata.

Il file che è possibile scaricare facendo clic sul collegamento sottostante contiene una tabella con l'elenco completo dei termini IOC dello standard OpenIOC.

DOWNLOAD DEL FILE IOC_TERMS.XLSX

Le funzionalità e le limitazioni del supporto dell'applicazione dello standard OpenIOC sono mostrate nella seguente tabella.

Funzionalità e limitazioni del supporto di OpenIOC versioni 1.0 e 1.1.

Condizioni supportate	OpenIOC 1.0: `is` `isnot` (come eccezione dal set) `contains` `containsnot` (come eccezione dal set) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Attributi di condizioni supportate	OpenIOC 1.1: `preserve-case` `negate`
Operatori supportati	`AND` `OR`
Tipi di dati supportati	`"date"`: data (condizioni applicabili: `is`, `greater-than`, `less-than`) `"int"`: numero intero (condizioni applicabili: `is`, `greater-than`, `less-than`) `"string"`: stringa (condizioni applicabili: `is`, `contains`, `matches`, `starts-with`, `ends-with`) `"duration"`: durata in secondi (condizioni applicabili: `is, greater-than, less-than`)
Funzionalità dell'interpretazione dei tipi di dati	I tipi di dati `"boolean string"`, `"restricted string"`, `"md5"`, `"IP"`, `"sha256"` e `"base64Binary"` sono interpretati come stringa. L'applicazione supporta l'interpretazione dell'impostazione `Content` per i tipi di dati `int` e `date` quando è impostata in formato di intervalli: OpenIOC 1.0: Utilizzo dell'operatore `TO` nel campo `Content`: `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: Utilizzo delle condizioni `greater-than` e `less-than` Utilizzo dell'operatore `TO` nel campo `Content`: L'applicazione supporta l'interpretazione dei tipi di dati `date` e `duration` se gli indicatori sono impostati nel formato `ISO 8601, Zulu Time Zone, UTC`.

Hai trovato utile questo articolo?

Cosa pensi che potremmo migliorare?

Grazie per il feedback! Ci stai aiutando a migliorare.