Об использовании индикаторов компрометации (IOC) и атаки (IOA) для поиска угроз

Kaspersky Anti Targeted Attack Platform использует для поиска угроз два типа индикаторов – IOC (Indicator of Compromise, или индикатор компрометации) и IOA (Indicator of Attack, или индикатор атаки).

Индикатор IOC – это набор данных о вредоносном объекте или действии. Kaspersky Anti Targeted Attack Platform использует IOC-файлы открытого стандарта описания индикаторов компрометации OpenIOC. IOC-файлы содержат набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. Вероятность обнаружения может повыситься, если в результате проверки были найдены точные совпадения данных об объекте с несколькими IOC-файлами.

Индикатор IOA – это правило (далее также "правило TAA (IOA)"), содержащее описание подозрительного поведения в системе, которое может являться признаком целевой атаки. Kaspersky Anti Targeted Attack Platform проверяет базу событий приложения и отмечает события, которые совпадают с поведением, описанным в правилах TAA (IOA). При проверке используется технология потоковой проверки, при которой события, получаемые с защищаемых устройств, проверяются непрерывно в режиме реального времени.

Правила TAA (IOA), сформированные специалистами "Лаборатории Касперского", используются в работе технологии TAA (Targeted Attack Analyzer) и обновляются вместе с базами приложения. Они не отображаются в интерфейсе приложения и не могут быть отредактированы.

Вы можете добавлять пользовательские правила IOC и TAA (IOA), используя IOC-файлы открытого стандарта описания OpenIOC, а также создавать правила TAA (IOA) на основе условий поиска по базе событий.

Сравнительные характеристики индикаторов компрометации (IOC) и атаки (IOA) приведены в таблице ниже.

Сравнительные характеристики индикаторов IOC и IOA

Сравнительная характеристика

Индикаторы IOC в пользовательских правилах IOC

Индикаторы IOA в пользовательских правилах TAA (IOA)

Индикаторы IOA в правилах TAA (IOA), сформированных специалистами "Лаборатории Касперского"

Область проверки

Компьютеры с компонентом Endpoint Agent

База событий приложения

База событий приложения

Механизм проверки

Периодическая проверка

Потоковая проверка

Потоковая проверка

Возможность добавить в исключения из проверки

Нет.

Не требуется.

Пользователи с ролью Старший сотрудник службы безопасности могут изменить текст индикатора в пользовательских правилах TAA (IOA) согласно требуемым условиям.

Есть.

Если вы используете режим распределенного решения и мультитенантности, в разделе отображаются данные по выбранному вами тенанту.

В начало