您可以使用 IOC 文件在事件数据库和具有 Endpoint Agent 组件的计算机上搜索入侵指标。例如,如果您收到了有关当前正在传播的恶意软件的第三方信息,您可以:
您可以查看此类事件,并且如果您希望Kaspersky Anti Targeted Attack Platform 为选定事件生成警报,您可以创建 TAA (IOA) 规则。
在分布式解决方案和多租户模式下,IOC 文件可以有以下类型:
IOC 文件是以 .ioc 扩展名保存的文本文件。创建 IOC 文件时,请查看您在 Endpoint Agent 角色中使用的应用程序支持的 IOC 术语列表。您可以通过从下面的链接下载文件来查看受支持的 IOC 术语列表。
Kaspersky Endpoint Agent for Windows 和 Kaspersky Endpoint Security for Windows
Kaspersky Endpoint Security 12 for Linux
Kaspersky Endpoint Security 11.4 for Linux 和Kaspersky Endpoint Security for Mac 不支持 IOC 文件。
每个 IOC 文件只能包含一条规则。规则可以具有任意复杂度。
具有高级安全官角色的用户可以将IOC 文件导入、删除或下载到计算机上,启用或禁用使用 IOC 文件搜索入侵指标,以及配置在装有 Endpoint Agent 组件的计算机上搜索入侵指标的计划。
具有安全官和安全审计员角色的用户可以查看 IOC 文件列表和有关所选文件的信息,并将IOC 文件导出到计算机。