Приложение 4. Требования к IOC-файлам
При создании задач поиска IOC учитывайте следующие требования и ограничения, связанные с IOC-файлами:
- Приложение поддерживает IOC-файлы с расширением ioc и xml открытого стандарта описания индикаторов компрометации OpenIOC версий 1.0 и 1.1.
- Если при создании задачи Поиск IOC из командной строки вы загрузите IOC-файлы, часть из которых не поддерживается, то при запуске задачи приложение будет использовать только поддерживаемые IOC-файлы. Если при создании задачи Поиск IOC из командной строки все загруженные вами IOC-файлы не поддерживаются, то задача может быть запущена, но в результате выполнения задачи не будут обнаружены индикаторы компрометации. Загрузить IOC-файлы, которые не поддерживаются, в Web Console или Cloud Console невозможно.
- Семантические ошибки и неподдерживаемые IOC-термины и теги в IOC-файлах не приводят к ошибкам выполнения задачи. На таких участках IOC-файлов приложение фиксирует отсутствие совпадения.
- Идентификаторы всех IOC-файлов, которые используются в одной задаче поиска IOC, должны быть уникальными. Наличие IOC-файлов с одинаковыми идентификаторами может повлиять на корректность результатов выполнения задачи.
- Размер одного IOC-файла не должен превышать 2 МБ. Использование файлов большего размера приводит к завершению задач поиска IOC с ошибкой. Суммарный размер всех добавляемых файлов в IOC-коллекции не должен превышать 10 МБ. Если размер всех файлов превышает 10 МБ, вам нужно разделить IOC-коллекцию и создать несколько задач Поиск IOC.
- Рекомендуется создавать на каждую угрозу по одному IOC-файлу. Это облегчает чтение результатов задачи поиска IOC.
В файле, который можно загрузить по ссылке ниже, приведена таблица с полным списком IOC-терминов стандарта OpenIOC.
Особенности и ограничения поддержки стандарта OpenIOC приложением приведены в следующей таблице.
Особенности и ограничения поддержки стандарта OpenIOC версий 1.0 и 1.1.
Поддерживаемые условия | OpenIOC 1.0:
OpenIOC 1.1:
|
Поддерживаемые атрибуты условий | OpenIOC 1.1:
|
Поддерживаемые операторы |
|
Поддерживаемые типы данных |
|
Особенности интерпретации типов данных | Типы данных Приложение поддерживает интерпретацию параметра OpenIOC 1.0: С использованием оператора
OpenIOC 1.1: С помощью условий С использованием оператора Приложение поддерживает интерпретацию типов данных |