管理使用者定義的 IOC 規則
您可以使用 IOC 檔案在事件資料庫和具有 Endpoint Agent 元件的電腦上搜尋入侵指標。例如,如果您收到了有關目前正在傳播的惡意軟體的第三方訊息,您可以:
- 建立一個包含惡意軟體入侵指標的 IOC 檔案,並將其上傳到 Kaspersky Anti Targeted Attack Platform 的 Web 介面。
- 尋找與所選 IOC 檔案的條件相對應的事件。
您可以檢視此類事件,如果您希望 Kaspersky Anti Targeted Attack Platform 為選定事件產生警示,您可以建立 TAA (IOA) 規則。
- 啟用自動使用選定的 IOC 檔案來搜尋具有 Endpoint Agent 元件的電腦上的入侵指標。
- 如果在掃描電腦時 Endpoint Agent 元件偵測到入侵指標,Kaspersky Anti Targeted Attack Platform 會產生警示。
- 配置在具有 Endpoint Agent 元件的電腦上使用 IOC 檔案搜尋入侵指標的計畫。
在分佈式解決方案和多租戶模式下,IOC 檔案可以有以下類型:
- 本機— 上傳到 SCN 伺服器的 IOC 檔案。這些 IOC 檔案用於搜尋連線到 SCN 伺服器的 Kaspersky Endpoint Agent 主機上的入侵指標。
- 全球— 上傳到 PCN 伺服器的 IOC檔案。這些 IOC 檔案用於搜尋連線到 PCN 伺服器的 Kaspersky Endpoint Agent 主機以及連線到 PCN 伺服器的所有 SCN 伺服器上的入侵指標。
IOC 檔案是以 .ioc 副檔名儲存的文字檔。建立IOC 檔案時,請檢視您在 Endpoint Agent角色中使用的應用程式支援的 IOC 術語清單。您可以透過從下面的連結下載檔案來檢視受支援的 IOC 術語清單。
Kaspersky Endpoint Security for Windows。
Kaspersky Endpoint Security 12 for Linux
Kaspersky Endpoint Security 11.4 for Linux 和 Kaspersky Endpoint Security for Mac 不支援 IOC 檔案。
每個 IOC 檔案只能包含一條規則。規則可以具有任意複雜度。
具有資深安全員角色的使用者可以將 IOC 檔案匯入、刪除或下載到電腦上,啟用或停用使用 IOC 檔案搜尋入侵指標,以及配置在裝有 Endpoint Agent 元件的電腦上搜尋入侵指標的計畫。
具有安全官和安全稽核員角色的使用者可以檢視 IOC 檔案清單和有關所選檔案的資訊,並將 IOC 檔案匯出到電腦。