Un indicador de vulneración (IOC, por sus siglas en inglés) consiste en una serie de datos referentes a un objeto o a una actividad que dan cuenta de una intrusión en el dispositivo (es decir, revelan que los datos del dispositivo han quedado expuestos). Por ejemplo, muchos intentos fallidos de iniciar sesión en el sistema pueden constituir un indicador de compromiso. La tarea Análisis de IOC está pensada para buscar estos indicadores en el dispositivo y, de encontrarse una amenaza, llevar a cabo las acciones de respuesta que resulten necesarias.
La búsqueda de indicadores se realiza utilizando archivos de IOC. Los archivos IOC contienen un conjunto de indicadores que se comparan con los indicadores de un evento. Cuando los indicadores del archivo coinciden con los del evento, la aplicación califica al evento de “alerta”. Los archivos de IOC deben cumplir con el estándar OpenIOC.
En Kaspersky Endpoint Detection and Response Optimum, la tarea Análisis de IOC se puede ejecutar de distintas maneras:
Cuando se detecta un IOC en un dispositivo, Kaspersky Endpoint Detection and Response Optimum lleva a cabo la acción de respuesta especificada. Las acciones disponibles para responder a un IOC detectado son las siguientes:
Kaspersky Endpoint Detection and Response Optimum y Kaspersky Sandbox pueden crear tareas de análisis de IOC automáticamente como parte de la respuesta ante amenazas. Este tipo de tarea también se puede crear manualmente desde la ventana de los detalles de la alerta, a través de Kaspersky Endpoint Security para Windows o en Kaspersky Endpoint Agent.
Para obtener más información sobre cómo ejecutar las tareas de análisis de IOC, consulte la Ayuda de Kaspersky Endpoint Security para Windows y la Ayuda de Kaspersky Endpoint Agent.