使用入侵指標 (IOC) 和攻擊指標 (IOA) 進行威脅搜索

Kaspersky Anti Targeted Attack Platform 使用兩種類型的指示器進行威脅搜尋：IOC（入侵指標）和 IOA（攻擊指標）。

IOC 是有關惡意物件或惡意活動的一組資料。Kaspersky Anti Targeted Attack Platform 使用符合OpenIOC標準的 IOC 檔案，該標準是描述入侵指標的開放標準。IOC 檔案包含一組與事件指標進行比較的指標。如果比較的指標匹配，應用程式將該事件視為偵測並建立警示。如果掃描偵測到物件資料與多個 IOC 檔案之間的精確匹配，則警示的可能性會增加。

IOA（也稱為“TAA (IOA) 規則”）是包含系統中可疑活動描述的規則，該活動可能是針對性攻擊的跡象。Kaspersky Anti Targeted Attack Platform 掃描應用程式的事件資料庫，並標記與 TAA (IOA) 規則描述的行為相符的事件或事件鏈。使用串流掃描技術，對從受防護裝置接收到的事件進行連續即時掃描。

由卡巴斯基專家建立的 TAA (IOA) 規則得到 TAA（針對性攻擊分析器）技術的使用，與應用程式資料庫一起更新。它們不會顯示在應用程式的介面中，並且無法編輯。

您可以使用 OpenIOC 格式的 IOC 檔案新增使用者定義的 IOC 和 TAA (IOA) 規則，以及基於事件資料庫搜尋條件建立 TAA (IOA) 規則。

下表包含入侵指標 (IOC) 和攻擊指標 (IOA) 的比較分析。

IOC 和 IOA 指標比較

特徵	使用者定義的 IOC 規則中的 IOC	使用者定義的 TAA (IOA) 規則中的 IOA	卡巴斯基專家所建立的 TAA (IOA) 規則中的 IOA
掃描範圍	具有 Endpoint Agent 元件的電腦	應用程式事件資料庫	應用程式事件資料庫
掃描機制	定期掃描	串流掃描	串流掃描
可以被新增到掃描排除項目	無。	不需要。具有資深安全員角色的使用者可以根據需要編輯自訂 TAA (IOA) 規則中的指標文字。	是。

特徵

使用者定義的 IOC 規則中的 IOC

使用者定義的 TAA (IOA) 規則中的 IOA

卡巴斯基專家所建立的 TAA (IOA) 規則中的 IOA

掃描範圍

具有 Endpoint Agent 元件的電腦

應用程式事件資料庫

掃描機制

定期掃描

串流掃描

可以被新增到掃描排除項目

無。

不需要。

具有資深安全員角色的使用者可以根據需要編輯自訂 TAA (IOA) 規則中的指標文字。

是。

如果使用的是分佈式解決方案和多租戶模式，此部分將顯示所選租戶的資訊。

頁面頂部