Un file OpenIOC è un file XML che contiene uno o più indicatori di compromissione
(IOC). Verificare che il file OpenIOC usi termini indicatori supportati dal tipo di
indagine selezionato.
La tabella di seguito elenca gli indicatori OpenIOC supportati per le valutazioni
avanzate Detection & Response dei dispositivi.
|
Categoria
|
Elemento
|
Condizione richiesta
|
|
DNSENTRYITEM
|
HOST
|
IS
|
|
RECORDDATA/HOST
|
IS
|
|
|
RECORDDATA/IPV4ADDRESS
|
IS
|
|
|
FILEITEM
|
FILENAME
|
IS
|
|
FILEPATH
|
IS
|
|
|
SHA1SUM
|
IS
|
|
|
SHA2SUM
|
IS
|
|
|
SHA256SUM
|
IS
|
|
|
PORTITEM
|
LOCALIP
|
IS
|
|
REMOTEIP
|
IS
|
|
|
PROCESSITEM
|
ARGUMENTS
|
CONTAINS
|
|
NOME
|
IS
|
|
|
PATH
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/SHA1SUM
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/SHA256SUM
|
IS
|
|
|
REGISTRYITEM
|
KEYPATH
|
CONTAINS
|
|
VALUE
|
CONTAINS
|
|
|
VALUENAME
|
CONTAINS
|
|
|
USERITEM
|
USERNAME
|
IS
|