О поиске IOC

Индикатор компрометации (англ. Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к устройству (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача поиска IOC позволяет обнаруживать индикаторы компрометации на устройстве и выполнять действия по реагированию на угрозы.

Для поиска IOC используются IOC-файлы (файлы, содержащие набор индикаторов, при совпадении с которыми EPP-программа считает событие обнаружением). IOC-файлы должны соответствовать стандарту описания OpenIOC.

В Kaspersky Industrial CyberSecurity Endpoint Detection and Response предусмотрена задача поиска IOC – групповая или локальная задача, которая создается и настраивается вручную в Kaspersky Security Center Web Console. Для запуска задачи используются IOC-файлы, которые вы подготовили.

При обнаружении IOC на устройстве Kaspersky Industrial CyberSecurity Endpoint Detection and Response выполняет заданное действие по реагированию. Доступны следующие действия по реагированию на обнаруженные IOC:

• Изолировать устройство от сети.
• Запустить проверку важных областей.
• Копию объекта поместить на карантин, объект удалить.

При реагировании на угрозы Kaspersky Industrial CyberSecurity Endpoint Detection and Response может автоматически создавать задачи поиска IOC. Вы также можете создать задачу вручную из окна деталей обнаружения или в Kaspersky Endpoint Agent.