Apêndice 4. Requisitos de arquivos IOC
Ao criar as tarefas de Verificação de IOC, considere os seguintes requisitos e limitações de arquivos IOC:
- O aplicativo é compatível com os arquivos IOC com as extensões IOC e XML no padrão aberto OpenIOC versões 1.0 e 1.1 para descrever os indicadores de comprometimento.
- Se, ao criar uma tarefa de verificação de IOC na linha de comando, os arquivos IOC forem carregados, alguns dos quais sendo incompatíveis, quando a tarefa for executada, o aplicativo usará somente os arquivos IOC compatíveis. Se, ao criar uma tarefa de verificação de IOC na linha de comando, todos os arquivos IOC carregados forem indicados como incompatíveis, a tarefa ainda pode ser executada, mas ela não detectará nenhum indicador de compromisso. Não é possível carregar arquivos IOC incompatíveis usando o Web Console ou Cloud Console.
- Erros semânticos, termos e tags IOC não compatíveis em arquivos IOC não causam falha na execução da tarefa. Nessas seções de arquivos IOC, o aplicativo não detecta nenhuma correspondência.
- Os identificadores de todos os arquivos IOC utilizados em uma única tarefa de Verificação de IOC devem ser únicos. Se houver arquivos IOC com o mesmo identificador, isso poderá afetar os resultados da execução da tarefa.
- Um único arquivo IOC não deve exceder o tamanho de 2 MB. A utilização de arquivos maiores causará erros nas tarefas de Verificação de IOC. O tamanho total de todos os arquivos adicionados à coleção IOC não deve exceder 10 MB. Se o tamanho total de todos os arquivos exceder 10 MB, você precisará dividir a coleção IOC e criar diversas tarefas de Verificação de IOC.
- Recomenda-se a criação de um arquivo IOC por ameaça. Isso facilita a análise dos resultados da tarefa de Verificação de IOC.
O arquivo que pode ser baixado clicando no link abaixo contém uma tabela com a lista completa dos termos de IOC do padrão OpenIOC.
DOWNLOAD DO ARQUIVO IOC TERMS.XLSX
Os recursos e as limitações de compatibilidade do aplicativo com o padrão OpenIOC são apresentados na tabela a seguir.
Recursos e limitações do compatibilidade do OpenIOC versão 1.0 e 1.1.
Condições de compatibilidade | OpenIOC 1.0:
OpenIOC 1.1:
|
Atributos de condições de compatibilidade | OpenIOC 1.1:
|
Operadores compatíveis |
|
Tipos de dados compatíveis |
|
Características de interpretação de tipos de dados | Os tipos de dados O aplicativo é compatível com a interpretação da configuração OpenIOC 1.0: Uso do operador
OpenIOC 1.1: Uso das condições Uso do operador O aplicativo é compatível com a interpretação dos tipos de dados |