Apêndice 11. Requisitos de arquivos IOC

Suporte

Suporte para Empresas

Kaspersky Endpoint Security 11 for Windows

Apêndices

Apêndice 11. Requisitos de arquivos IOC

20 de julho de 2023

ID 220828

Salvar como PDF

Ao criar as tarefas de Verificação de IOC, considere os seguintes requisitos e limitações de arquivos IOC:

O Kaspersky Endpoint Detection and Response Optimum é compatível com arquivos IOC com as extensões IOC e XML no OpenIOC padrão aberto versões 1.0 e 1.1 para descrever os indicadores de comprometimento.
Se durante a criação da tarefa de Verificação de IOC, você carregar arquivos IOC, alguns dos quais não são compatíveis, quando a tarefa for executada, o aplicativo usará apenas os arquivos IOC compatíveis.
Se durante a criação da tarefa de Verificação de IOC, você carregar apenas arquivos IOC não compatíveis, a tarefa ainda poderá ser executada, mas nenhum indicador de comprometimento será detectado.
Erros semânticos, termos e tags IOC não compatíveis em arquivos IOC não causam falha na execução da tarefa. Nessas seções de arquivos IOC, o aplicativo não detecta nenhuma correspondência.
Os identificadores de todos os arquivos IOC utilizados em uma única tarefa de Verificação de IOC devem ser únicos. Se houver arquivos IOC com o mesmo identificador, isso poderá afetar os resultados da execução da tarefa.
Exemplo de um identificador de arquivos IOC:

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
Um único arquivo IOC não deve exceder o tamanho de 3 MB. A utilização de arquivos maiores causará erros nas tarefas de Verificação de IOC. Dito isso, o tamanho total de todos os arquivos adicionados à coleção IOC pode exceder 3 MB.
Recomenda-se a criação de um arquivo IOC por ameaça. Isso facilita a análise dos resultados da tarefa de Verificação de IOC.

O arquivo a ser baixado clicando no link abaixo contém uma tabela com a lista completa dos termos de IOC do padrão OpenIOC que são compatíveis com a solução Kaspersky Endpoint Detection and Response.

DOWNLOAD DO ARQUIVO IOC TERMS.XLSX

Os recursos e as limitações de compatibilidade do aplicativo com o padrão OpenIOC são apresentados na tabela a seguir.

Recursos e limitações do compatibilidade do OpenIOC versão 1.0 e 1.1.

Condições de compatibilidade	OpenIOC 1.0: `is` `isnot` (uma exceção a partir do conjunto) `contains` `containsnot` (uma exceção a partir do conjunto) OpenIOC 1.1: `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
Atributos de condições de compatibilidade	OpenIOC 1.1: `preserve-case` `negate`
Operadores compatíveis	`E` `OU`
Tipos de dados compatíveis	`"date"`: data (condições aplicáveis: `is`, `greater-than`, `less-than`) `"int"`: número inteiro (condições aplicáveis: `is`, `greater-than`, `less-than`) `"string"`: string (condições aplicáveis: `is`, `contains`, `matches`, `starts-with`, `ends-with`) `"duration"`: duração em segundos (condições aplicáveis: `is, greater-than, less-than`)
Características de interpretação de tipos de dados	Os tipos de dados `"boolean string"`, `"restricted string"`, `"md5"`, `"IP"`, `"sha256"` e `"base64Binary"` são interpretados como string. O aplicativo é compatível com a interpretação da configuração `Content`, para os tipos de dados `int` e `date` quando definidos na forma de intervalos: OpenIOC 1.0: Uso do operador `TO` no campo `Content`: `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1: Uso das condições `greater-than` e `less-than` Uso do operador `TO` no campo `Content` O aplicativo é compatível com a interpretação dos tipos de dados `date` e `duration` caso os indicadores sejam definidos no formato `ISO 8601, Zulu Time Zone, UTC`.

Este artigo foi útil?

O que podemos melhorar?

Agradecemos o seu comentário! Ele nos ajuda a melhorar.