Apêndice 11. Requisitos de arquivos IOC
Ao criar as tarefas de Verificação de IOC, considere os seguintes requisitos e limitações de arquivos IOC:
- O Kaspersky Endpoint Detection and Response Optimum é compatível com arquivos IOC com as extensões IOC e XML no OpenIOC padrão aberto versões 1.0 e 1.1 para descrever os indicadores de comprometimento.
- Se durante a criação da tarefa de Verificação de IOC, você carregar arquivos IOC, alguns dos quais não são compatíveis, quando a tarefa for executada, o aplicativo usará apenas os arquivos IOC compatíveis.
- Se durante a criação da tarefa de Verificação de IOC, você carregar apenas arquivos IOC não compatíveis, a tarefa ainda poderá ser executada, mas nenhum indicador de comprometimento será detectado.
- Erros semânticos, termos e tags IOC não compatíveis em arquivos IOC não causam falha na execução da tarefa. Nessas seções de arquivos IOC, o aplicativo não detecta nenhuma correspondência.
- Os identificadores de todos os arquivos IOC utilizados em uma única tarefa de Verificação de IOC devem ser únicos. Se houver arquivos IOC com o mesmo identificador, isso poderá afetar os resultados da execução da tarefa.
- Um único arquivo IOC não deve exceder o tamanho de 3 MB. A utilização de arquivos maiores causará erros nas tarefas de Verificação de IOC. Dito isso, o tamanho total de todos os arquivos adicionados à coleção IOC pode exceder 3 MB.
- Recomenda-se a criação de um arquivo IOC por ameaça. Isso facilita a análise dos resultados da tarefa de Verificação de IOC.
O arquivo a ser baixado clicando no link abaixo contém uma tabela com a lista completa dos termos de IOC do padrão OpenIOC que são compatíveis com a solução Kaspersky Endpoint Detection and Response.
DOWNLOAD DO ARQUIVO IOC TERMS.XLSX
Os recursos e as limitações de compatibilidade do aplicativo com o padrão OpenIOC são apresentados na tabela a seguir.
Recursos e limitações do compatibilidade do OpenIOC versão 1.0 e 1.1.
Condições de compatibilidade | OpenIOC 1.0:
OpenIOC 1.1:
|
Atributos de condições de compatibilidade | OpenIOC 1.1:
|
Operadores compatíveis |
|
Tipos de dados compatíveis |
|
Características de interpretação de tipos de dados | Os tipos de dados O aplicativo é compatível com a interpretação da configuração OpenIOC 1.0: Uso do operador
OpenIOC 1.1: Uso das condições Uso do operador O aplicativo é compatível com a interpretação dos tipos de dados |