附录 4.IOC 文件需求
当创建 IOC 扫描任务时,考虑以下 IOC 文件需求和限制:
- 该应用程序支持开放标准 OpenIOC 版本 1.0 和 1.1 中具有 IOC 和 XML 扩展名的 IOC 文件,用于描述妥协的指标。
- 如果在命令行创建一个 IOC 扫描任务,则您上传 IOC 文件(其中一些文件不受支持),则当任务运行时,应用程序仅使用受支持的 IOC 文件。如果在命令行创建一个 IOC 扫描任务,你上传的所有 IOC 文件都不受支持,任务仍然可以运行,但它不会检测到任何泄露迹象。无法使用 Web 控制台或云控制台上传不受支持的 IOC 文件。
- 语义错误和 IOC 文件中不支持的 IOC 术语和标记不会导致任务执行失败。在 IOC 文件的这些部分中,应用程序检测不到匹配。
- 单个 IOC 扫描任务中使用的所有 IOC 文件的标识符必须是唯一的。如果存在具有相同标识符的 IOC 文件,则可能会影响任务执行结果。
- 单个 IOC 文件的大小不得超过 2 MB。使用较大的文件将导致 IOC 扫描任务因错误而终止。添加到 IOC 集合的所有文件的总大小不能超过 10 MB。如果所有文件的总大小超过 10 MB,您需要拆分 IOC 集合并创建多个“IOC 扫描”任务。
- 建议为每个威胁创建一个 IOC 文件。这使得分析 IOC 扫描任务的结果更加容易。
您可以通过单击下面的链接下载该文件,该文件包含一个表,其中包含 OpenIOC 标准的 IOC 术语的完整列表。
下表显示了应用程序支持 OpenIOC 标准的特性和限制。
OpenIOC 版本 1.0 和 1.1 的功能和支持限制。
支持条件 | OpenIOC 1.0:
OpenIOC 1.1:
|
支持的条件属性 | OpenIOC 1.1:
|
支持的运算符 |
|
支持的数据类型 |
|
数据类型解释的特点 |
当 OpenIOC 1.0: 在
OpenIOC 1.1: 使用 在 如果指示器设置为 |