О задаче Поиска IOC

02 мая 2024

ID 220373

Индикатор компрометации (англ. Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к устройству (компрометация данных). Например, индикатором компрометации может быть неоднократные неудачные попытки входа в систему. Задача Поиска IOC позволяет обнаруживать индикаторы компрометации на устройстве и выполнять действия по реагированию на угрозы.

Файлы IOC используются для поиска IOC. Файлы IOC содержат набор индикаторов, которые сравниваются с индикаторами события. Если сравниваемые показатели совпадают, EPP-программа считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC.

В Kaspersky Endpoint Detection and Response Optimum предусмотрены следующие режимы запуска задач поиска IOC:

  • Стандартная задача Поиска IOC

    Групповая или локальная задача, которая создается и настраивается вручную в Kaspersky Security Center Web Console. Для запуска задач используются IOC-файлы, которые вы подготовили.

  • Автономная задача Поиска IOC

    Групповая задача, которая создается автоматически при реагировании на угрозу, обнаруженную Kaspersky Sandbox. EPP-программа автоматически формирует IOC-файл. Работа с пользовательскими IOC-файлами не предусмотрена. Задачи автоматически удаляются через семь дней после последнего запуска или с момента создания, если задачи не запускались. Подробнее об автономных задачах поиска IOC см. в справке Kaspersky Sandbox.

При обнаружении IOC на устройстве Kaspersky Endpoint Detection and Response Optimum выполняет заданное действие по реагированию. Доступны следующие действия по реагированию на обнаруженные IOC:

Вам помогла эта статья?
Что нам нужно улучшить?
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!
Спасибо за ваш отзыв, вы помогаете нам становиться лучше!