Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или действиях, указывающих на несанкционированный доступ к устройству (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача поиска IOC позволяет обнаруживать индикаторы компрометации на устройстве и выполнять действия по реагированию на угрозы.
Для поиска IOC используются IOC-файлы. IOC-файлы содержат набор индикаторов, которые сравниваются с индикаторами события. Если сравниваемые индикаторы совпадают, EPP-программа считает событие алертом. IOC-файлы должны соответствовать стандарту описания OpenIOC.
При обнаружении IOC на устройстве Kaspersky Endpoint Detection and Response Expert выполняет заданное действие по реагированию. Доступны следующие действия по реагированию на обнаруженные IOC: