Поддержка

Поддержка приложений для бизнеса

Kaspersky Endpoint Security 12 для Windows

Приложения

Приложение 10. Требования к IOC-файлам

Kaspersky Endpoint Security 12 для Windows
Нет результатов
Нет результатов
База знаний Онлайн-справка
Советы и решения FAQ Скачать Купить Продлить Форум Запрос в поддержку Утилиты для лечения

Приложение 10. Требования к IOC-файлам

11 апреля 2024

ID 220828

Скачать PDF

При создании задач поиска IOC учитывайте следующие требования и ограничения, связанные с IOC-файлами:

  • Приложение поддерживает IOC-файлы с расширением ioc и xml открытого стандарта описания индикаторов компрометации OpenIOC версий 1.0 и 1.1.
  • Если при создании задачи Поиск IOC из командной строки вы загрузите IOC-файлы, часть из которых не поддерживается, то при запуске задачи приложение будет использовать только поддерживаемые IOC-файлы. Если при создании задачи Поиск IOC из командной строки все загруженные вами IOC-файлы не поддерживаются, то задача может быть запущена, но в результате выполнения задачи не будут обнаружены индикаторы компрометации. Загрузить IOC-файлы, которые не поддерживаются, в Web Console или Cloud Console невозможно.
  • Семантические ошибки и неподдерживаемые IOC-термины и теги в IOC-файлах не приводят к ошибкам выполнения задачи. На таких участках IOC-файлов приложение фиксирует отсутствие совпадения.
  • Идентификаторы всех IOC-файлов, которые используются в одной задаче поиска IOC, должны быть уникальными. Наличие IOC-файлов с одинаковыми идентификаторами может повлиять на корректность результатов выполнения задачи.
  • Размер одного IOC-файла не должен превышать 2 МБ. Использование файлов большего размера приводит к завершению задач поиска IOC с ошибкой. Суммарный размер всех добавляемых файлов в IOC-коллекции не должен превышать 10 МБ. Если размер всех файлов превышает 10 МБ, вам нужно разделить IOC-коллекцию и создать несколько задач Поиск IOC.
  • Рекомендуется создавать на каждую угрозу по одному IOC-файлу. Это облегчает чтение результатов задачи поиска IOC.

В файле, который можно загрузить по ссылке ниже, приведена таблица с полным списком IOC-терминов стандарта OpenIOC.

ЗАГРУЗИТЬ ФАЙЛ IOC_TERMS.XLSX

Особенности и ограничения поддержки стандарта OpenIOC приложением приведены в следующей таблице.

Особенности и ограничения поддержки стандарта OpenIOC версий 1.0 и 1.1.

Поддерживаемые условия

OpenIOC 1.0:

is

isnot (как исключение из множества)

contains

containsnot (как исключение из множества)

OpenIOC 1.1:

is

contains

starts-with

ends-with

matches

greater-than

less-than

Поддерживаемые атрибуты условий

OpenIOC 1.1:

preserve-case

negate

Поддерживаемые операторы

AND

OR

Поддерживаемые типы данных

"date": дата (применимые условия: is, greater-than, less-than)

"int": целое число (применимые условия: is, greater-than, less-than)

"string": строка (применимые условия: is, contains, matches, starts-with, ends-with)

"duration": продолжительность в секундах (применимые условия: is, greater-than, less-than)

Особенности интерпретации типов данных

Типы данных "boolean string", "restricted string", "md5", "IP", "sha256", "base64Binary" интерпретируются как строка (string).

Приложение поддерживает интерпретацию параметра Content для типов данных int и date, заданного в виде промежутков:

OpenIOC 1.0:

С использованием оператора TO в поле Content:

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1:

С помощью условий greater-than и less-than

С использованием оператора TO в поле Content

Приложение поддерживает интерпретацию типов данных date и duration, если индикаторы заданы в формате ISO 8601, Zulu time zone, UTC.

Kaspersky Endpoint Security для Windows — обнаружение даже продвинутых угроз
Системы контроля для предотвращения кражи ценной информации. Управление из единой консоли. Купите в составе Endpoint Security для бизнеса Расширенный.
Расширенная техническая поддержка (MSA) — приоритетная обработка инцидентов
Поддержка по телефону или через веб‑портал. Быстрое реагирование, мониторинг и проверка. Подайте заявку и активируйте контракт.
Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!