補足資料 4：IOC ファイルの要件

サポート

法人向けアプリケーション

Kaspersky Endpoint Security 11 for Windows

Detection and Response ソリューション

Endpoint Detection and Response

補足資料 4：IOC ファイルの要件

2024年2月14日

ID 220828

PDF として入手

IOC スキャンタスクを作成する際は、次の IOC ファイルの要件および制限を考慮してください：

本製品は侵害インジケーターの記述に OpenIOC のバージョン 1.0 および 1.1 の IOC および XML が含まれる IOC ファイルをサポートしています。
コマンドラインで IOC スキャンタスクの作成中にサポートされない IOC ファイルをアップロードした場合、本製品はタスクが実行されたときにサポートされる IOC ファイルのみを使用します。コマンドラインで IOC スキャンタスクの作成中、すべてのアップロードされた IOC ファイルがサポートされないファイルだった場合は、タスクは実行されますが侵害インジケーターは検知されません。Web コンソールまたは Cloud コンソールを使用してサポートされないＩＯＣファイルをアップロードすることはできません。
IOC ファイルの構文エラーおよびサポートされない IOC タームおよびタグがあってもタスクの実行は失敗しません。IOC ファイルのこのようなセクションでは、本製品は一致なしとして判断します。
単一の IOC スキャンタスクで使用されるすべての IOC ファイルの識別子は一意である必要があります。同じ識別子を持つ IOC ファイルが存在した場合、タスクの実行結果に影響を与えることがあります。
IOC ファイル識別子の例：

<ioc xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" id="43e6a866-4f85-4ce2-a369-eabf786ba711" last-modified="2019-05-09T11:08:38" xmlns="http://schemas.mandiant.com/2010/ioc">
単一の IOC ファイルのサイズは 2 MB を超えることはできません。サイズの大きいファイルを使用すると IOC スキャンタスクはエラーで終了します。IOC コレクションに追加されるすべてのファイルの合計サイズが 10MB を超えることはできません。すべてのファイルの合計サイズが 10 MB を超える場合は、IOC コレクションを分割して複数の IOC スキャンタスクを作成する必要があります。
脅威ごとに 1 つの IOC ファイルを作成することを推奨します。IOC スキャンタスクの結果の解析がしやすくなるためです。

以下のリンクをクリックしてダウンロードできるファイルには、すべての OpenIOC 標準の IOC タームの一覧が含まれています。

こちらのリンクから IOC_TERMS.XLSX ファイルをダウンロードできます

本製品の OpenIOC 標準をサポートする機能および制限を次の表に示します。

OpenIOC バージョン 1.0 および 1.1 をサポートする機能および制限

サポートされる条件	OpenIOC 1.0： `is` `isnot` （セットからの例外として） `contains` `containsnot` （セットからの例外として） OpenIOC 1.1： `is` `contains` `starts-with` `ends-with` `matches` `greater-than` `less-than`
サポートされる条件の属性値	OpenIOC 1.1： `preserve-case` `negate`
サポートされる演算子	`AND` `OR`
サポートされるデータ種別	`"date"`：日付（適用可能な条件：`is`、`greater-than`、`less-than`） `"int"`：整数（適用可能な条件：`is`、`greater-than`、`less-than`） `"string"`：文字列（適用可能な条件：`is`、`contains`、`matches`、`starts-with`、`ends-with`） `"duration"`：期間（秒）（適用可能な条件：`is、greater-than、less-than`）
データ種別の解釈機能	`"boolean string"`、`"restricted string"`、`"md5"`、`"IP"`、`"sha256"` および `"base64Binary"` データ種別は文字列として解釈されます。本製品はインターバルのフォームに設定されている場合は`int` および `date` データ種別の `Content` 設定の解釈をサポートします： OpenIOC 1.0： `Content` フィールドの `TO` 演算子の使用： `<Content type="int">49600 TO 50700</Content>` `<Content type="date">2009-04-28T10:00:00Z TO 2009-04-28T16:00:00Z</Content>` `<Content type="int">[154192 TO 154192]</Content>` OpenIOC 1.1：条件 `greater-than` および `less-than` の使用 `Content` フィールドでの演算子 `TO` の使用 `ISO 8601, Zulu Time Zone, UTC` 形式でインジケーターが設定されている場合、本製品はデータ種別 `date` および `duration` の解釈をサポートします。

Kaspersky Endpoint Security for Windows：高度な脅威も検知

機密データの盗難による被害を防ぐよう設計されたコントロールシステム。単一のコンソールで管理。Endpoint Security for Business Advanced の一部として購入。

拡張テクニカルサポート（MSA）：優先度の高いインシデント対応

電話または Web ポータルでサポートを提供。迅速なインシデント対応、監視、正常性チェック。最適なプランを選び、申請して、契約（MSA）をアクティブ化。

この記事はお役に立ちましたか？

改善できる点がありましたらお聞かせください。

フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。