Un fichier OpenIOC est un fichier XML, qui contient un ou plusieurs indicateurs de
compromission (IOC). Assurez-vous que le fichier OpenIOC utilise des termes d'indicateur
pris en charge par le type d'investigation sélectionné.
Le tableau ci-dessous répertorie les indicateurs IOC pris en charge dans les investigations.
|
Catégorie
|
Élément
|
Condition requise
|
|
DNSENTRYITEM
|
HOST
|
IS
|
|
RECORDDATA/HOST
|
IS
|
|
|
RECORDDATA/IPV4ADDRESS
|
IS
|
|
|
FILEITEM
|
FILENAME
|
IS
|
|
FILEPATH
|
IS
|
|
|
SHA1SUM
|
IS
|
|
|
SHA2SUM
|
IS
|
|
|
MD5SUM
|
IS
|
|
|
PORTITEM
|
LOCALIP
|
IS
|
|
REMOTEIP
|
IS
|
|
|
PROCESSITEM
|
ARGUMENTS
|
CONTAINS
|
|
NAME
|
IS
|
|
|
PATH
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/SHA1SUM
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/SHA256SUM
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/MD5SUM
|
IS
|
|
|
REGISTRYITEM
|
KEYPATH
|
CONTAINS
|
|
VALUE
|
CONTAINS
|
|
|
VALUENAME
|
CONTAINS
|
|
|
USERNAME
|
IS
|
 |
RemarqueSuite à la sélection, Endpoint Sensor affiche un aperçu du fichier OpenIOC. Consultez
cet aperçu pour vérifier que le fichier OpenIOC contient des indicateurs et des conditions
pris en charge. Les combinaisons non prises en charge apparaissent barrées et sont
ignorées lors de l'investigation.
|