Über die IOC-Untersuchungsaufgabe

Ein Kompromittierungsindikator (Indicator of Compromise – IOC) ist ein Datensatz, der sich auf ein Objekt oder eine Aktivität bezieht und auf unbefugten Zugriff auf den Computer (Kompromittierung von Daten) hinweist. Beispielsweise können wiederholte erfolglose Versuche, sich beim System anzumelden, einen Kompromittierungsindikator darstellen. Mithilfe von IOC-Untersuchungsaufgaben können Sie Kompromittierungsindikatoren auf dem Gerät erkennen und Maßnahmen zur Reaktion auf Bedrohungen durchführen.

IOC-Dateien werden verwendet, um nach IOCs zu suchen. IOC-Dateien enthalten eine Reihe von Indikatoren, die mit den Indikatoren eines Ereignisses verglichen werden. Stimmen die verglichenen Indikatoren überein, betrachtet die EPP-Anwendung das Ereignis als alarmierend. IOC-Dateien müssen dem OpenIOC-Standard entsprechen.

Kaspersky Endpoint Detection and Response Optimum bietet die folgenden Modi zum IOC-Untersuchungsaufgaben:

• Standardmäßige IOC-Untersuchungsaufgabe

  Eine Gruppenaufgabe oder lokale Aufgabe, die manuell über die Kaspersky Security Center Web Console erstellt und konfiguriert wird. Zum Ausführen der Aufgaben werden die von Ihnen vorbereiteten IOC-Dateien verwendet.

• Autonome IOC-Untersuchungsaufgabe

  Eine Gruppenaufgabe, die automatisch erstellt wird, wenn auf eine durch Kaspersky Sandbox erkannte Bedrohung reagiert wird. Die EPP-Anwendung generiert automatisch eine IOC-Datei. Vorgänge mit benutzerdefinierten IOC-Dateien werden nicht unterstützt. Das Löschen der Aufgaben passiert automatisch sieben Tage nach ihrem letzten Start, bzw. nach ihrer Erstellung, wenn die Aufgabe nie ausgeführt wurde. Weitere Informationen über Aufgaben zur autonomen IOC-Untersuchungsaufgabe finden Sie in der Hilfe zu Kaspersky Sandbox.

Wenn auf einem Gerät ein IOC erkannt wird, führt Kaspersky Endpoint Detection and Response Optimum die angegebene Reaktion darauf aus. Für die erkannten IOCs stehen folgende Reaktionen zur Verfügung:

• Gerät vom Netzwerk isolieren.
• Untersuchung wichtiger Bereiche durchführen.
• Eine Kopie in Quarantäne verschieben und das Objekt löschen.

  Kaspersky Endpoint Detection and Response Optimum und Kaspersky Sandbox können im Rahmen einer Reaktion auf eine Bedrohung IOC-Untersuchungsaufgaben automatisch erstellen. Sie können eine Aufgabe auch manuell über das Fenster mit den Alarm-Details, in Kaspersky Endpoint Security für Windows oder in Kaspersky Endpoint Agent erstellen.

  Weitere Informationen über das Ausführen von IOC-Untersuchungsaufgaben finden Sie in der Hilfe von Kaspersky Endpoint Security für Windows und in der Hilfe von Kaspersky Endpoint Agent.