Создание задачи поиска IOC из деталей обнаружения

Чтобы создать задачу поиска IOC из деталей обнаружения:

1. Откройте детали обнаружения.
2. На закладке Все события обнаружения выберите элементы списка, на основе которых вы хотите создать задачу поиска IOC.
3. Нажмите на кнопку Создать IOC.
4. Выберите условие срабатывания индикатора компрометации:
   • Если вы хотите, чтобы IOC срабатывал при обнаружении любого из выбранных объектов, в правой части экрана выберите ИЛИ.
   • Если вы хотите, чтобы IOC срабатывал только при обнаружении всех выбранных объектов, в правой части экрана выберите И.
5. Выберите действия, которые требуется применять при срабатывании IOC:
   • Изолировать устройство от сети.
   • Запускать проверку важных областей.
   • Копию поместить на карантин, объект удалить.
6. Нажмите на кнопку Создать задачу.

Вы можете просмотреть созданные задачи в разделе Устройства → Задачи.

При создании задачи поиска IOC из деталей обнаружения для выбранного объекта (файла или процесса) будет автоматически создан IOC с термином FileItem. Подробнее о терминах IOC см. в Справке Kaspersky Endpoint Agent.