OpenIOC 檔案是包含一或多個入侵指標 (IOC) 的 XML 檔案。請確認 OpenIOC 檔案使用的指標項受所選調查類型支援。
下表列出調查支援的 IOC 指標。
 |
重要選擇 IOC 檔案時,您必須確保 IOC 指標包含要比對的檔案位置 ("FileItem/FullPath" 或 "FileItem/FilePath")。
|
|
類別
|
項目
|
要求的條件
|
注意
|
|
FILEITEM
|
FULLPATH
|
IS
|
指完整的目錄路徑、檔案名稱和副檔名
|
|
FILEPATH
|
IS、CONTAINS、STARTS-WITH、ENDS-WITH
|
支援部分比對
|
|
|
FILENAME
|
IS、CONTAINS、STARTS-WITH、ENDS-WITH
|
支援部分比對
|
|
|
MD5SUM
|
IS
|
||
|
SHA1SUM
|
IS
|
||
|
SHA256SUM
|
IS
|
||
|
SIZEINBYTES
|
IS
|
||
|
CREATED
|
GREATER-THAN、LESS-THAN
|
需要的格式(採用 UTC):yyyy-mm-ddThh:mm:ss
|
|
|
MODIFIED
|
GREATER-THAN、LESS-THAN
|
需要的格式(採用 UTC):yyyy-mm-ddThh:mm:ss
|
|
|
ACCESSED
|
GREATER-THAN、LESS-THAN
|
需要的格式(採用 UTC):yyyy-mm-ddThh:mm:ss
|
 |
注意選取此項目後,Endpoint Sensor 會顯示 OpenIOC 檔案的預覽。檢閱預覽可確認 OpenIOC 檔案是否包含支援的指標與條件。不受支援的組合採用刪除線這種格式,並在調查過程中被忽略。
|