您可以使用 IOC 文件在事件数据库和具有 Endpoint Agent 组件的计算机上搜索入侵指标。例如,如果您收到了有关当前正在传播的恶意软件的第三方信息,您可以:
您可以查看此类事件,并且如果您希望 Kaspersky Anti Targeted Attack Platform 为选定事件生成警报,您可以创建 TAA (IOA) 规则。
在分布式解决方案和多租户模式下,IOC 文件可以有以下类型:
IOC 文件是以 .ioc 扩展名保存的文本文件。创建 IOC 文件时,请查看您在 Endpoint Agent 角色中使用的应用程序支持的 IOC 术语列表。您可以通过从下面的链接下载文件来查看受支持的 IOC 术语列表。
Kaspersky Endpoint Agent for Windows 和 Kaspersky Endpoint Security for Windows
Kaspersky Endpoint Security 12 for Linux
Kaspersky Endpoint Security 11.4 for Linux 和 Kaspersky Endpoint Security for Mac 不支持 IOC 文件。
每个 IOC 文件只能包含一条规则。规则可以具有任意复杂度。
具有高级安全官角色的用户可以将IOC 文件导入、删除或下载到计算机上,启用或禁用使用 IOC 文件搜索入侵指标,以及配置在装有 Endpoint Agent 组件的计算机上搜索入侵指标的计划。
具有安全官和安全审计员角色的用户可以查看 IOC 文件列表和有关所选文件的信息,并将IOC 文件导出到计算机。