О задаче Поиска IOC

Поддержка

Поддержка приложений для бизнеса

Kaspersky Endpoint Detection and Response Optimum

Действия по реагированию

О задаче Поиска IOC

05 марта 2024

ID 220373

Индикатор компрометации (англ. Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к устройству (компрометация данных). Например, индикатором компрометации может быть неоднократные неудачные попытки входа в систему. Задача Поиска IOC позволяет обнаруживать индикаторы компрометации на устройстве и выполнять действия по реагированию на угрозы.

Файлы IOC используются для поиска IOC. Файлы IOC содержат набор индикаторов, которые сравниваются с индикаторами события. Если сравниваемые показатели совпадают, EPP-программа считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC.

В Kaspersky Endpoint Detection and Response Optimum предусмотрены следующие режимы запуска задач поиска IOC:

Стандартная задача Поиска IOC
Групповая или локальная задача, которая создается и настраивается вручную в Kaspersky Security Center Web Console. Для запуска задач используются IOC-файлы, которые вы подготовили.
Автономная задача Поиска IOC
Групповая задача, которая создается автоматически при реагировании на угрозу, обнаруженную Kaspersky Sandbox. EPP-программа автоматически формирует IOC-файл. Работа с пользовательскими IOC-файлами не предусмотрена. Задачи автоматически удаляются через семь дней после последнего запуска или с момента создания, если задачи не запускались. Подробнее об автономных задачах поиска IOC см. в справке Kaspersky Sandbox.

При обнаружении IOC на устройстве Kaspersky Endpoint Detection and Response Optimum выполняет заданное действие по реагированию. Доступны следующие действия по реагированию на обнаруженные IOC:

Изолировать устройство от сети.
Запускать проверку важных областей.
Копию поместить на карантин, объект удалить.
При реагировании на угрозы Kaspersky Endpoint Detection and Response Optimum и Kaspersky Sandbox могут автоматически создавать задачи Поиска IOC. Вы также можете создать задачу вручную из окна деталей обнаружения, в Kaspersky Endpoint Security для Windows или в Kaspersky Endpoint Agent.

Подробнее о запуске задач Поиска IOC см. в справке Kaspersky Endpoint Security для Windows и в справке Kaspersky Endpoint Agent.

Вам помогла эта статья?

Что нам нужно улучшить?

Спасибо за ваш отзыв, вы помогаете нам становиться лучше!