IOC 文件的要求

技术支持

企业产品

Kaspersky Endpoint Security 12 for Linux

与 Detection and Response 解决方案集成

Kaspersky Endpoint Detection and Response Optimum 集成

IOC 文件的要求

2024年8月2日

ID 273888

创建 IOC 扫描任务时，请考虑以下IOC 文件要求和限制：

应用程序支持具有 IOC 和 XML 扩展名的 IOC 文件。这些文件使用开放标准进行 IOC 描述 - OpenIOC 版本 1.0 和 1.1。
IOC 文件中的语义错误和不受支持的 IOC 术语和标签不会导致任务失败。对于 IOC 文件的此类部分，应用程序会记录不存在匹配项。
IOC 扫描任务中使用的所有 IOC 文件的 ID必须是唯一的。重复的 ID 可能会影响任务结果的正确性。

IOC 文件 ID 的示例：

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
我们建议为每个威胁创建一个 IOC 文件。这使得IOC 扫描任务的结果更易于阅读。

单击下面的链接即可下载该文件，其中包含 OpenIOC 标准的 IOC 术语完整列表。

下表列出了应用程序支持 OpenIOC 标准方式的特殊考虑和限制。

OpenIOC 标准版本 1.0 和 1.1 的功能和限制

支持的条件	OpenIOC 1.0： `is` `isnot`（作为集合排除项） `contains` `containsnot`（作为集合排除项） OpenIOC 1.1： `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
支持的条件属性	OpenIOC 1.1： `preserve-case` `negate`
支持的运算符	`AND` `OR`
支持的数据类型	`"date"`: 日期（适用条件：`is`，`greater-than`，`less-than`） `"int"`：整数（适用条件：`is`，`greater-than`，`less-than`） `"string"`: string（适用条件：`is`、`contains`、`matches`、`starts-with` 、`ends-with`） `“duration”`：持续时间（以秒为单位）（适用术语：`is`、`greater-than`、`less-than`）
解释数据类型的特殊注意事项	`"boolean string"`、`"restricted string"`、`"md5"`、`"IP"`, `"sha256"`、`"base64Binary"`数据类型被解释为字符串。应用程序支持解释被指定为间隔的`int`和`date`数据类型的`Content`参数： OpenIOC 1.0：在`Content`字段中使用`TO`运算符： `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1：使用`greater-than`和`less-than`条件在`Content`字段中使用`TO`运算符如果指标以`ISO 8601、祖鲁时区、UTC`格式指定，则应用程序支持`date`和`duration`数据类型的解释。

您觉得这篇文章有帮助吗？

我们可以做什么更好？

感谢您的反馈！你正在帮助我们进步。