Un indicateur de compromission (IOC) est un ensemble de données concernant un objet ou une activité qui indique un accès non autorisé à l’appareil (compromission des données). Par exemple, de nombreuses tentatives infructueuses de se connecter au système peuvent constituer un indicateur de compromission. La tâche d’analyse IOC permet de trouver des indicateurs de compromission sur l’appareil et de déclencher des actions de réponse aux menaces.
Les fichiers IOC sont utilisés pour rechercher des IOC. Les fichiers IOC contiennent un ensemble d’indicateurs qui sont comparés aux indicateurs d’un événement. Si les indicateurs comparés correspondent, l’application PPE considère l’événement comme étant une alerte. Les fichiers IOC doivent être conformes à la norme OpenIOC.
Kaspersky Endpoint Detection and Response Optimum propose les modes suivants pour l’exécution des tâches d’analyse IOC :
Lorsqu’un IOC est détecté sur un appareil, Kaspersky Endpoint Detection and Response Optimum exécute l’action de réponse indiquée. Les actions de réponse suivantes sont disponibles pour les IOC détectés :
Dans le cadre de la réponse aux menaces, Kaspersky Endpoint Detection and Response Optimum et Kaspersky Sandbox peuvent créer automatiquement des tâches d’analyse IOC. Vous pouvez également créer une tâche manuellement à partir de la page des détails de l’alerte, ou dans Kaspersky Endpoint Security pour Windows ou Kaspersky Endpoint Agent.
Pour obtenir plus de détails sur l'exécution de tâches d'analyse IOC, consultez l'aide de Kaspersky Endpoint Security for Windows et l'aide de Kaspersky Endpoint Agent.