Работа с индикаторами компрометации и атаки

Kaspersky Anti Targeted Attack Platform использует для поиска угроз два типа индикаторов – IOC (Indicator of Compromise, или индикатор компрометации) и IOA (Indicator of Attack, или индикатор атаки).

Индикатор IOC – это набор данных о вредоносном объекте или действии. Kaspersky Anti Targeted Attack Platform использует IOC-файлы открытого стандарта описания индикаторов компрометации OpenIOC. IOC-файлы содержат набор индикаторов, при совпадении с которыми программа считает событие обнаружением. Вероятность обнаружения может повыситься, если в результате проверки были найдены точные совпадения данных об объекте с несколькими IOC-файлами.

Индикатор IOA – это правило (далее также "IOA-правило"), содержащее описание подозрительного поведения в системе, которое может являться признаком целевой атаки. Kaspersky Anti Targeted Attack Platform проверяет базу событий программы и отмечает события, которые совпадают с поведением, описанным в IOA-правилах. При проверке используется технология потокового сканирования, при которой объекты, загружаемые из сети, проверяются непрерывно в режиме реального времени.

IOA-правила, сформированные специалистами "Лаборатории Касперского", обновляются вместе с базами программы. Они не отображаются в интерфейсе программы и не могут быть отредактированы. Вы можете добавлять пользовательские IOA-правила в виде IOC-файлов открытого стандарта описания OpenIOC, а также создавать IOA-правила на основе условий поиска по базе событий.

Сравнительные характеристики индикаторов IOC и IOA приведены в таблице ниже.

Сравнительные характеристики индикаторов IOC и IOA

Сравнительная характеристика

IOC

IOA

Область проверки

Компьютеры с компонентом Endpoint Sensors

База событий программы

Механизм проверки

Периодическое сканирование

Потоковое сканирование

Предустановленные индикаторы от специалистов "Лаборатории Касперского"

Нет

Есть

Возможность добавить в белый список

Нет

Есть

Если вы используете режим распределенного решения и multitenancy, в разделе отображаются данные по выбранной вами организации.

В этом разделе справки

IOC-проверка событий

IOA-анализ событий

В начало