关于 IOC 扫描

妥协的指标 (IOC) 是一组关于对象或活动的数据，表示未经授权访问设备（数据泄露）。例如，许多登录系统的尝试都不成功，这可能构成妥协的指标。IOC 扫描任务允许在设备上查找妥协的指标，并采取威胁响应措施。

IOC 文件用于搜索 IOC。IOC 文件包含一组与事件的指标进行比较的指标。如果比较的指标匹配，则 EPP 应用程序将事件视为警报。IOC 文件必须符合 OpenIOC 标准。

卡巴斯基端点检测与响应 – 优选版提供以下模式来运行 IOC 扫描任务：

标准 IOC 扫描任务是在 Kaspersky Security Center Web Console 中手动创建和配置的组或本地任务。您准备的 IOC 文件用于运行任务。
独立 IOC 扫描任务是在对 Kaspersky Sandbox 检测到的威胁作出反应时自动创建的组任务。EPP 应用程序自动生成一个 IOC 文件。不支持使用自定义 IOC 文件进行操作。如果任务从未运行，则任务将在上次启动时间或创建时间后七天自动删除。有关自主 IOC 扫描任务的更多信息，请参阅 Kaspersky Sandbox 帮助。

当在设备上检测到 IOC 时，卡巴斯基端点检测与响应 – 优选版会执行指定的响应操作。以下响应操作可用于检测到的 IOC：

从网络隔离设备。
运行关键区域扫描。
将副本移动到隔离区，并删除对象。
作为威胁响应的一部分，卡巴斯基端点检测与响应 – 优选版和 Kaspersky Sandbox 可以自动创建 IOC 扫描任务。您也可以从 Kaspersky Endpoint Security for Windows 或 Kaspersky Endpoint Agent 的警报详情窗口手动创建任务。
有关如何运行 IOC 扫描任务的详细信息，请参阅Kaspersky Endpoint Security for Windows 帮助和 Kaspersky Endpoint Agent 帮助。