Eine OpenIOC-Datei ist eine XML-Datei, die eine oder mehrere „Indicators of Compromise“
(IOCs) enthält. Stellen Sie sicher, dass die OpenIOC-Datei Indikatorbedingungen verwendet,
die von der Art der ausgewählten Untersuchung unterstützt werden.
Die Tabelle unten enthält die IOC-Indikatoren, die in Untersuchungen unterstützt werden.
Unterstützte IOC-Indikatoren für Verlaufsuntersuchungen
|
Kategorie
|
Element
|
Erforderliche Bedingung
|
|
DNSENTRYITEM
|
HOST
|
IS
|
|
RECORDDATA/HOST
|
IS
|
|
|
RECORDDATA/IPV4ADDRESS
|
IS
|
|
|
FILEITEM
|
FILENAME
|
IS
|
|
SHA1SUM
|
IS
|
|
|
SHA2SUM
|
IS
|
|
|
MD5SUM
|
IS
|
|
|
PORTITEM
|
LOCALIP
|
IS
|
|
REMOTEIP
|
IS
|
|
|
PROCESSITEM
|
ARGUMENTS
|
CONTAINS
|
|
NAME
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/SHA1SUM
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/SHA256SUM
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/MD5SUM
|
IS
|
|
|
REGISTRYITEM
|
KEYPATH
|
CONTAINS
|
|
VALUE
|
CONTAINS
|
|
|
VALUENAME
|
CONTAINS
|
|
|
USERNAME
|
IS
|
 |
HinweisNach Auswahl zeigt Endpoint Sensor eine Vorschau der OpenIOC-Datei an. Überprüfen
Sie die Vorschau, um sicherzustellen, dass die OpenIOC-Datei unterstützte Indikatoren
und Bedingungen enthält. Nicht unterstützte Kombinationen werden markiert, indem sie
durchgestrichen werden, und werden während der Untersuchung ignoriert.
|