Un indicatore di compromissione (IOC) è un set di dati su un oggetto o un'attività che indica l'accesso non autorizzato al dispositivo (compromissione dei dati). Ad esempio, molti tentativi non riusciti di accesso al sistema possono costituire un indicatore di compromissione. L'attività di scansione IOC consente di trovare indicatori di compromissione nel dispositivo e di eseguire azioni di risposta alle minacce.
I file IOC vengono utilizzati per cercare gli IOC. I file IOC contengono una serie di indicatori che vengono confrontati con gli indicatori di un evento. Se gli indicatori confrontati corrispondono, l'applicazione EPP considera l'evento come un avviso. I file IOC devono essere conformi allo standard OpenIOC.
Kaspersky Endpoint Detection and Response Optimum offre le seguenti modalità per l'esecuzione delle attività di scansione IOC:
Quando viene rilevato un IOC in un dispositivo, Kaspersky Endpoint Detection and Response Optimum esegue l'azione di risposta specificata. Per gli IOC rilevati sono disponibili le seguenti azioni di risposta:
Nell'ambito della risposta alle minacce, Kaspersky Endpoint Detection and Response Optimum e Kaspersky Sandbox possono creare automaticamente attività di scansione IOC. È inoltre possibile creare un'attività manualmente dalla finestra dei dettagli dell'avviso, in Kaspersky Endpoint Security for Windows o in Kaspersky Endpoint Agent.
Per informazioni dettagliate su come eseguire le attività di scansione IOC, fare riferimento alla Guida di Kaspersky Endpoint Security for Windows e alla Guida di Kaspersky Endpoint Agent.