Требования к IOC-файлам
При создании задач поиска IOC учитывайте следующие требования и ограничения, связанные с IOC-файлами:
- Приложение поддерживает IOC-файлы с расширением IOC и XML открытого стандарта описания индикаторов компрометации OpenIOC версий 1.0 и 1.1.
- Семантические ошибки и неподдерживаемые IOC-термины и теги в IOC-файлах не приводят к ошибкам выполнения задачи. На таких участках IOC-файлов приложение фиксирует отсутствие совпадения.
- Идентификаторы всех IOC-файлов, которые используются в одной задаче поиска IOC, должны быть уникальными. Наличие IOC-файлов с одинаковыми идентификаторами может повлиять на корректность результатов выполнения задачи.
- Рекомендуется создавать на каждую угрозу по одному IOC-файлу. Это облегчает чтение результатов задачи Поиск IOC.
В файле, который можно загрузить по ссылке ниже, приведена таблица с полным списком IOC-терминов стандарта OpenIOC.
Особенности и ограничения поддержки стандарта OpenIOC приложением приведены в таблице ниже.
Особенности и ограничения поддержки стандарта OpenIOC версий 1.0 и 1.1
Поддерживаемые условия | OpenIOC 1.0:
|
Поддерживаемые атрибуты условий | OpenIOC 1.1:
|
Поддерживаемые операторы |
|
Поддерживаемые типы данных |
|
Особенности интерпретации типов данных | Типы данных Приложение поддерживает интерпретацию параметра
|