Eine OpenIOC-Datei ist eine XML-Datei, die eine oder mehrere „Indicators of Compromise“
(IOCs) enthält. Stellen Sie sicher, dass die OpenIOC-Datei Indikatorbedingungen verwendet,
die von der Art der ausgewählten Untersuchung unterstützt werden.
Die Tabelle unten enthält die IOC-Indikatoren, die in Untersuchungen unterstützt werden.
 |
WichtigBeim Auswählen einer IOC-Datei müssen Sie sicherstellen, dass die IOC-Indikatoren
den Speicherort der Datei zum Abgleichen enthalten (entweder "FileItem/FullPath" oder
"FileItem/FilePath").
|
|
Kategorie
|
Element
|
Erforderliche Bedingung
|
Hinweise
|
|
FILEITEM
|
VOLLSTÄNDIGER PFAD
|
IS
|
Bezieht sich auf einen vollständigen Verzeichnispfad, Dateinamen und die Erweiterung
|
|
FILEPATH
|
IST, ENTHÄLT, BEGINNT MIT, ENDET MIT
|
Teilweise Übereinstimmung unterstützt
|
|
|
FILENAME
|
IST, ENTHÄLT, BEGINNT MIT, ENDET MIT
|
Teilweise Übereinstimmung unterstützt
|
|
|
MD5SUM
|
IS
|
||
|
SHA1SUM
|
IS
|
||
|
SHA256SUM
|
IS
|
||
|
SIZEINBYTES
|
IS
|
||
|
ERSTELLT
|
GRÖSSER ALS, KLEINER ALS
|
Erforderliches Format (in UTC): yyyy-mm-ddThh:mm:ss
|
|
|
GEÄNDERT
|
GRÖSSER ALS, KLEINER ALS
|
Erforderliches Format (in UTC): yyyy-mm-ddThh:mm:ss
|
|
|
ZUGEGRIFFEN
|
GRÖSSER ALS, KLEINER ALS
|
Erforderliches Format (in UTC): yyyy-mm-ddThh:mm:ss
|
 |
HinweisNach Auswahl zeigt Endpoint Sensor eine Vorschau der OpenIOC-Datei an. Überprüfen
Sie die Vorschau, um sicherzustellen, dass die OpenIOC-Datei unterstützte Indikatoren
und Bedingungen enthält. Nicht unterstützte Kombinationen werden markiert, indem sie
durchgestrichen werden, und werden während der Untersuchung ignoriert.
|