Sommaire

Utilisation d’OpenIOC OpenIOC

1. Présentation

OpenIOC est un outil permettant de gérer ses indicateurs de compromission. C’est un outil disponible à l’adresse suivante : https://www.fireeye.com/services/freeware.html. Il est développé par la société FireEye spécialisée dans l’analyse inforensique et la réponse d’incident.

Ce framework s’appuie sur la technologie XML pour stocker les indicateurs de compromission. Pour créer ces fichiers XML, il est nécessaire d’avoir les modèles de structures. La société FireEye met à disposition des fichiers de modèles à l’adresse suivante : https://github.com/mandiant/OpenIOC_1.1

images/07EP02.PNG

2. Utilisation

Le travail du gestionnaire des indicateurs de compromission est de créer le fichier XML correspondant au cas en cours d’investigation. Voici un modèle XML correspondant à l’identification d’une clé de registre :

<?xml version="1.0" encoding="utf-8"?> 
<xs:schema elementFormDefault="qualified" 
xmlns:xs="http://www.w3.org/2001/XMLSchema"> 
  <xs:element name="HiveItem" nillable="true" 
type="RegistryHiveItem" /> 
  <xs:complexType name="RegistryHiveItem"> 
    <xs:complexContent mixed="false"> 
      <xs:extension base="ItemBase">  ...