Поиск IOC
07 сентября 2023
ID 221325
Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или действиях, указывающих на несанкционированный доступ к устройству (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача поиска IOC позволяет обнаруживать индикаторы компрометации на устройстве и выполнять действия по реагированию на угрозы.
Для поиска IOC используются IOC-файлы. IOC-файлы содержат набор индикаторов, которые сравниваются с индикаторами события. Если сравниваемые индикаторы совпадают, EPP-программа считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC.
При обнаружении IOC на устройстве Kaspersky Endpoint Detection and Response Expert выполняет заданное действие по реагированию. Доступны следующие действия по реагированию на обнаруженные IOC:
- Изолировать устройство от сети.
- Запустить проверку важных областей.
- Поместить копию объекта на карантин, а сам объект удалить.