Suporte

Suporte para Empresas

Kaspersky Endpoint Security 12 for Windows

Apêndices

Apêndice 10. Requisitos de arquivos IOC

Kaspersky Endpoint Security 12 for Windows
Нет результатов
Нет результатов
Ajuda on-line
Perguntas frequentes Requisitos do sistema Baixar Comprar Renovar Fórum Contatar suporte Ferramentas de recuperação Vídeos do produto

Apêndice 10. Requisitos de arquivos IOC

14 de fevereiro de 2024

ID 220828

Salvar como PDF

Ao criar as tarefas de Verificação de IOC, considere os seguintes requisitos e limitações de arquivos IOC:

  • O aplicativo é compatível com os arquivos IOC com as extensões IOC e XML no padrão aberto OpenIOC versões 1.0 e 1.1 para descrever os indicadores de comprometimento.
  • Se, ao criar uma tarefa de Verificação de IOC na linha de comando, os arquivos IOC forem carregados, alguns dos quais sendo incompatíveis, quando a tarefa for executada, o aplicativo usará somente os arquivos IOC compatíveis. Se, ao criar uma tarefa de verificação de IOC na linha de comando, todos os arquivos IOC carregados forem indicados como incompatíveis, a tarefa ainda pode ser executada, mas ela não detectará nenhum indicador de compromisso. Não é possível carregar arquivos IOC incompatíveis usando o Web Console ou Cloud Console.
  • Erros semânticos, termos e tags IOC não compatíveis em arquivos IOC não causam falha na execução da tarefa. Nessas seções de arquivos IOC, o aplicativo não detecta nenhuma correspondência.
  • Os identificadores de todos os arquivos IOC utilizados em uma única tarefa de Verificação de IOC devem ser únicos. Se houver arquivos IOC com o mesmo identificador, isso poderá afetar os resultados da execução da tarefa.
  • Um único arquivo IOC não deve exceder o tamanho de 2 MB. A utilização de arquivos maiores causará erros nas tarefas de Verificação de IOC. O tamanho total de todos os arquivos adicionados à coleção IOC não deve exceder 10 MB. Se o tamanho total de todos os arquivos exceder 10 MB, você precisará dividir a coleção IOC e criar diversas tarefas de Verificação de IOC.
  • Recomenda-se a criação de um arquivo IOC por ameaça. Isso facilita a análise dos resultados da tarefa de Verificação de IOC.

O arquivo que pode ser baixado clicando no link abaixo contém uma tabela com a lista completa dos termos de IOC do padrão OpenIOC.

DOWNLOAD DO ARQUIVO IOC TERMS.XLSX

Os recursos e as limitações de compatibilidade do aplicativo com o padrão OpenIOC são apresentados na tabela a seguir.

Recursos e limitações do compatibilidade do OpenIOC versão 1.0 e 1.1.

Condições de compatibilidade

OpenIOC 1.0:

is

isnot (uma exceção a partir do conjunto)

contains

containsnot (uma exceção a partir do conjunto)

OpenIOC 1.1:

is

contains

starts-with

ends-with

matches

greater-than

less-than

Atributos de condições de compatibilidade

OpenIOC 1.1:

preserve-case

negate

Operadores compatíveis

AND

OR

Tipos de dados compatíveis

"date": data (condições aplicáveis: is, greater-than, less-than)

"int": número inteiro (condições aplicáveis: is, greater-than, less-than)

"string": string (condições aplicáveis: is, contains, matches, starts-with, ends-with)

"duration": duração em segundos (condições aplicáveis: is, greater-than, less-than)

Características de interpretação de tipos de dados

Os tipos de dados "boolean string", "restricted string", "md5", "IP", "sha256" e "base64Binary" são interpretados como string.

O aplicativo é compatível com a interpretação da configuração Content, para os tipos de dados int e date quando definidos na forma de intervalos:

OpenIOC 1.0:

Uso do operador TO no campo Content:

<Content type="int">49600 TO 50700</Content>

<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>

<Content type="int">[154192 TO 154192]</Content>

OpenIOC 1.1:

Uso das condições greater-than e less-than

Uso do operador TO no campo Content

O aplicativo é compatível com a interpretação dos tipos de dados date e duration caso os indicadores sejam definidos no formato ISO 8601, Zulu Time Zone, UTC.

Este artigo foi útil?
O que podemos melhorar?
Agradecemos o seu comentário! Ele nos ajuda a melhorar.
Agradecemos o seu comentário! Ele nos ajuda a melhorar.