Eine OpenIOC-Datei ist eine XML-Datei, die eine oder mehrere „Indicators of Compromise“
(IOCs) enthält. Stellen Sie sicher, dass die OpenIOC-Datei Indikatorbedingungen verwendet,
die von der Art der ausgewählten Untersuchung unterstützt werden.
Die nachfolgende Tabelle enthält die OpenIOC-Indikatoren, die für die erweiterten
Endpunktbewertungen von "Erkennung und Reaktion" unterstützt werden.
|
Kategorie
|
Element
|
Erforderliche Bedingung
|
|
DNSENTRYITEM
|
HOST
|
IS
|
|
RECORDDATA/HOST
|
IS
|
|
|
RECORDDATA/IPV4ADDRESS
|
IS
|
|
|
FILEITEM
|
FILENAME
|
IS
|
|
FILEPATH
|
IS
|
|
|
SHA1SUM
|
IS
|
|
|
SHA2SUM
|
IS
|
|
|
SHA256SUM
|
IS
|
|
|
PORTITEM
|
LOCALIP
|
IS
|
|
REMOTEIP
|
IS
|
|
|
PROCESSITEM
|
ARGUMENTS
|
CONTAINS
|
|
NAME
|
IS
|
|
|
PATH
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/SHA1SUM
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/SHA256SUM
|
IS
|
|
|
REGISTRYITEM
|
KEYPATH
|
CONTAINS
|
|
VALUE
|
CONTAINS
|
|
|
VALUENAME
|
CONTAINS
|
|
|
USERITEM
|
USERNAME
|
IS
|