Un archivo OpenIOC es un archivo XML que contiene uno o varios indicadores de compromiso
(IOCs). Compruebe si el archivo OpenIOC utiliza términos de indicador admitidos por
la investigación seleccionada.
La tabla siguiente incluye los indicadores IOC admitidos en las investigaciones.
|
Categoría
|
Elemento
|
Condición necesaria
|
|
DNSENTRYITEM
|
HOST
|
IS
|
|
RECORDDATA/HOST
|
IS
|
|
|
RECORDDATA/IPV4ADDRESS
|
IS
|
|
|
FILEITEM
|
FILENAME
|
IS
|
|
FILEPATH
|
IS
|
|
|
SHA1SUM
|
IS
|
|
|
SHA2SUM
|
IS
|
|
|
MD5SUM
|
IS
|
|
|
PORTITEM
|
LOCALIP
|
IS
|
|
REMOTEIP
|
IS
|
|
|
PROCESSITEM
|
ARGUMENTS
|
CONTAINS
|
|
NAME
|
IS
|
|
|
PATH
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/SHA1SUM
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/SHA256SUM
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/MD5SUM
|
IS
|
|
|
REGISTRYITEM
|
KEYPATH
|
CONTAINS
|
|
VALUE
|
CONTAINS
|
|
|
VALUENAME
|
CONTAINS
|
|
|
USERNAME
|
IS
|
 |
NotaTras la selección, Endpoint Sensor muestra una vista previa del archivo OpenIOC. Revise
la vista previa para verificar si el archivo OpenIOC contiene condiciones e indicadores
admitidos. Las combinaciones no admitidas se tachan y se omiten durante la investigación.
|