Вы можете использовать IOC-файлы для поиска индикаторов компрометации по базе событий и на компьютерах с установленной программой Kaspersky Endpoint Agent. Например, если вы получили из внешних источников информацию о распространении вредоносной программы, вы можете выполнить следующие действия:
Вы можете просмотреть эти события и, если вы хотите, чтобы программа Kaspersky Anti Targeted Attack Platform формировала обнаружения по выбранным событиям, вы можете создать правило TAA (IOA).
Если в результате проверки компьютеров программа Kaspersky Anti Targeted Attack Platform обнаружит индикаторы компрометации, программа Kaspersky Anti Targeted Attack Platform сформирует обнаружение.
IOC-файлы могут быть следующих типов:
Вы можете ознакомиться со списком поддерживаемых индикаторов компрометации открытого стандарта OpenIOC, скачав файл.
Пользователи с ролью Старший сотрудник службы безопасности могут импортировать, удалять, скачивать IOC-файлы на компьютер, включать и отключать поиск индикаторов компрометации по IOC-файлам, а также настраивать расписание поиска индикаторов компрометации на компьютерах с установленной программой Kaspersky Endpoint Agent.
Пользователи с ролью Сотрудник службы безопасности и Аудитор могут просматривать список IOC-файлов и информацию о выбранном файле, а также экспортировать IOC-файлы на компьютер.