О поиске IOC
Индикатор компрометации (англ. Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к устройству (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача поиска IOC позволяет обнаруживать индикаторы компрометации на устройстве и выполнять действия по реагированию на угрозы.
Для поиска IOC используются
(файлы, содержащие набор индикаторов, при совпадении с которыми считает событие обнаружением). IOC-файлы должны соответствовать стандарту описания OpenIOC.В Kaspersky Industrial CyberSecurity Endpoint Detection and Response предусмотрена задача поиска IOC – групповая или локальная задача, которая создается и настраивается вручную в Kaspersky Security Center Web Console. Для запуска задачи используются IOC-файлы, которые вы подготовили.
При обнаружении IOC на устройстве Kaspersky Industrial CyberSecurity Endpoint Detection and Response выполняет заданное действие по реагированию. Доступны следующие действия по реагированию на обнаруженные IOC:
- Изолировать устройство от сети.
- Запустить проверку важных областей.
- Копию объекта поместить на карантин, объект удалить.
При реагировании на угрозы Kaspersky Industrial CyberSecurity Endpoint Detection and Response может автоматически создавать задачи поиска IOC.
Подробне о создании задачи поиска IOC см. в:
- Справке Kaspersky Security Center Windows;
- Справке Kaspersky Endpoint Agent;
- Справке Kaspersky Industrial CyberSecurity for Linux Nodes.