Ein Kompromittierungsindikator (Indicator of Compromise – IOC) ist ein Datensatz, der sich auf ein Objekt oder eine Aktivität bezieht und auf unbefugten Zugriff auf den Computer (Kompromittierung von Daten) hinweist. Beispielsweise können viele erfolglose Versuche, sich beim System anzumelden, einen Kompromittierungsindikator darstellen. Mithilfe von IOC-Untersuchungsaufgaben können Kompromittierungsindikatoren auf dem Gerät gefunden werden und Maßnahmen zur Reaktion auf Bedrohungen durchgeführt werden.
IOC-Dateien werden verwendet, um nach IOCs zu suchen. IOC-Dateien enthalten eine Reihe von Indikatoren, die mit den Indikatoren eines Ereignisses verglichen werden. Stimmen die verglichenen Indikatoren überein, betrachtet die EPP-Anwendung das Ereignis als alarmierend. IOC-Dateien müssen dem OpenIOC-Standard entsprechen.
Kaspersky Endpoint Detection and Response Optimum bietet die folgenden Modi zum IOC-Untersuchungsaufgaben:
Wenn auf einem Gerät ein IOC erkannt wird, führt Kaspersky Endpoint Detection and Response Optimum die angegebene Reaktion darauf aus. Für die erkannten IOCs stehen folgende Reaktionen zur Verfügung:
Im Rahmen einer Reaktion auf Bedrohungen können Kaspersky Endpoint Detection and Response Optimum und Kaspersky Sandbox automatisch IOC-Untersuchungsaufgaben erstellen. Sie können eine Aufgabe auch manuell über das Fenster mit den Alarm-Details, in Kaspersky Endpoint Security für Windows oder in Kaspersky Endpoint Agent erstellen.
Weitere Informationen zum Ausführen von IOC-Scan-Aufgaben finden Sie in der Hilfe von Kaspersky Endpoint Security für Windows und in der Hilfe von Kaspersky Endpoint Agent.