Um arquivo OpenIOC é um arquivo XML que contém um ou mais Indicadores de Comprometimento (IOCs). Verifique se o arquivo do OpenIOC usa termos de indicador permitidos pelo tipo de investigação selecionado.
A tabela abaixo lista os indicadores do IOC permitidos em investigações.
Categoria
Item
Condição Necessária
DNSENTRYITEM
HOST
IS
RECORDDATA/HOST
IS
RECORDDATA/IPV4ADDRESS
IS
FILEITEM
FILENAME
IS
FILEPATH
IS
SHA1SUM
IS
SHA2SUM
IS
MD5SUM
IS
PORTITEM
LOCALIP
IS
REMOTEIP
IS
PROCESSITEM
ARGUMENTS
CONTAINS
NAME
IS
PATH
IS
SECTIONLIST/MEMORYSECTION/SHA1SUM
IS
SECTIONLIST/MEMORYSECTION/SHA256SUM
IS
SECTIONLIST/MEMORYSECTION/MD5SUM
IS
REGISTRYITEM
KEYPATH
CONTAINS
VALUE
CONTAINS
VALUENAME
CONTAINS
USERNAME
IS
Note
Note
Após a seleção, o Endpoint Sensor exibe uma visualização do arquivo OpenIOC. Consulte a visualização para verificar se o arquivo OpenIOC contém indicadores e condições com suporte. As combinações sem suporte são formatadas com um aviso e são ignoradas durante a investigação.