Поиск IOC

Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или действиях, указывающих на несанкционированный доступ к устройству (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача поиска IOC позволяет обнаруживать индикаторы компрометации на устройстве и выполнять действия по реагированию на угрозы.

Для поиска IOC используются IOC-файлы. IOC-файлы содержат набор индикаторов, которые сравниваются с индикаторами события. Если сравниваемые индикаторы совпадают, EPP-программа считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC.

При обнаружении IOC на устройстве Kaspersky Endpoint Detection and Response Expert выполняет заданное действие по реагированию. Доступны следующие действия по реагированию на обнаруженные IOC:

• Изолировать устройство от сети.
• Запустить проверку важных областей.
• Поместить копию объекта на карантин, а сам объект удалить.