附录 10.IOC 文件需求

当创建 IOC 扫描任务时，考虑以下 IOC 文件需求和限制：

• 该应用程序支持开放标准 OpenIOC 版本 1.0 和 1.1 中具有 IOC 和 XML 扩展名的 IOC 文件，用于描述妥协的指标。
• 如果在命令行创建一个 IOC 扫描任务，则您上传 IOC 文件（其中一些文件不受支持），则当任务运行时，应用程序仅使用受支持的 IOC 文件。如果在命令行创建一个 IOC 扫描任务，你上传的所有 IOC 文件都不受支持，任务仍然可以运行，但它不会检测到任何泄露迹象。无法使用 Web 控制台或云控制台上传不受支持的 IOC 文件。
• 语义错误和 IOC 文件中不支持的 IOC 术语和标记不会导致任务执行失败。在 IOC 文件的这些部分中，应用程序检测不到匹配。
• 单个 IOC 扫描任务中使用的所有 IOC 文件的标识符必须是唯一的。如果存在具有相同标识符的 IOC 文件，则可能会影响任务执行结果。

  IOC 文件标识符示例：

  <ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">

• 单个 IOC 文件的大小不得超过 2 MB。使用较大的文件将导致 IOC 扫描任务因错误而终止。添加到 IOC 集合的所有文件的总大小不能超过 10 MB。如果所有文件的总大小超过 10 MB，您需要拆分 IOC 集合并创建多个“IOC 扫描”任务。
• 建议为每个威胁创建一个 IOC 文件。这使得分析“IOC 扫描”任务的结果更加容易。

您可以通过单击下面的链接下载该文件，该文件包含一个表，其中包含 OpenIOC 标准的 IOC 术语的完整列表。

下载 IOC_TERMS.XLSX 文件

下表显示了应用程序支持 OpenIOC 标准的特性和限制。

OpenIOC 版本 1.0 和 1.1 的功能和支持限制。