Um arquivo OpenIOC é um arquivo XML que contém um ou mais Indicadores de Comprometimento
(IOCs). Verifique se o arquivo do OpenIOC usa termos de indicador permitidos pelo
tipo de investigação selecionado.
A tabela abaixo lista os indicadores do IOC permitidos em investigações.
|
Categoria
|
Item
|
Condição Necessária
|
|
DNSENTRYITEM
|
HOST
|
IS
|
|
RECORDDATA/HOST
|
IS
|
|
|
RECORDDATA/IPV4ADDRESS
|
IS
|
|
|
FILEITEM
|
FILENAME
|
IS
|
|
FILEPATH
|
IS
|
|
|
SHA1SUM
|
IS
|
|
|
SHA2SUM
|
IS
|
|
|
MD5SUM
|
IS
|
|
|
PORTITEM
|
LOCALIP
|
IS
|
|
REMOTEIP
|
IS
|
|
|
PROCESSITEM
|
ARGUMENTS
|
CONTAINS
|
|
NAME
|
IS
|
|
|
PATH
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/SHA1SUM
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/SHA256SUM
|
IS
|
|
|
SECTIONLIST/MEMORYSECTION/MD5SUM
|
IS
|
|
|
REGISTRYITEM
|
KEYPATH
|
CONTAINS
|
|
VALUE
|
CONTAINS
|
|
|
VALUENAME
|
CONTAINS
|
|
|
USERNAME
|
IS
|
 |
NoteApós a seleção, o Endpoint Sensor exibe uma visualização do arquivo OpenIOC. Consulte
a visualização para verificar se o arquivo OpenIOC contém indicadores e condições
com suporte. As combinações sem suporte são formatadas com um aviso e são ignoradas
durante a investigação.
|