管理用户定义的 IOC 规则
您可以使用 IOC 文件在事件数据库和具有 Endpoint Agent 组件的计算机上搜索入侵指标。例如,如果您收到了有关当前正在传播的恶意软件的第三方信息,您可以:
- 创建一个包含恶意软件入侵指标的 IOC 文件,并将其上传到 Kaspersky Anti Targeted Attack Platform 的 Web 界面。
- 查找与所选 IOC 文件的条件相对应的事件。
您可以查看此类事件,并且如果您希望 Kaspersky Anti Targeted Attack Platform 为选定事件生成警报,您可以创建 TAA (IOA) 规则。
- 启用自动使用选定的 IOC 文件来搜索具有 Endpoint Agent 组件的计算机上的入侵指标。
- 如果在扫描计算机时 Endpoint Agent 组件检测到入侵指标,Kaspersky Anti Targeted Attack Platform 会生成警报。
- 配置在具有 Endpoint Agent 组件的计算机上使用 IOC 文件搜索入侵指标的计划。
在分布式解决方案和多租户模式下,IOC 文件可以有以下类型:
- 本地 — 上传到 SCN 服务器的 IOC 文件。这些 IOC 文件用于搜索连接到 SCN 服务器的 Kaspersky Endpoint Agent 主机上的入侵指标。
- 全球 — 上传到 PCN 服务器的 IOC文件。这些 IOC 文件用于搜索连接到 PCN 服务器的 Kaspersky Endpoint Agent 主机以及连接到 PCN 服务器的所有 SCN 服务器上的入侵指标。
IOC 文件是以 .ioc 扩展名保存的文本文件。创建 IOC 文件时,请查看您在 Endpoint Agent 角色中使用的应用程序支持的 IOC 术语列表。您可以通过从下面的链接下载文件来查看受支持的 IOC 术语列表。
Kaspersky Endpoint Agent for Windows 和 Kaspersky Endpoint Security for Windows
Kaspersky Endpoint Security 12 for Linux
Kaspersky Endpoint Security 11.4 for Linux 和 Kaspersky Endpoint Security for Mac 不支持 IOC 文件。
每个 IOC 文件只能包含一条规则。规则可以具有任意复杂度。
具有高级安全官角色的用户可以将IOC 文件导入、删除或下载到计算机上,启用或禁用使用 IOC 文件搜索入侵指标,以及配置在装有 Endpoint Agent 组件的计算机上搜索入侵指标的计划。
具有安全官和安全审计员角色的用户可以查看 IOC 文件列表和有关所选文件的信息,并将IOC 文件导出到计算机。