Индикатор компрометации (англ. Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к устройству (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача поиска IOC позволяет обнаруживать индикаторы компрометации на устройстве и выполнять действия по реагированию на угрозы.
Для поиска IOC используются IOC-файлы (файлы, содержащие набор индикаторов, при совпадении с которыми EPP-приложение считает событие обнаружением). IOC-файлы должны соответствовать стандарту описания OpenIOC.
В Kaspersky Endpoint Detection and Response Optimum предусмотрены следующие режимы запуска задач поиска IOC:
При обнаружении IOC на устройстве Kaspersky Endpoint Detection and Response Optimum выполняет заданное действие по реагированию. Доступны следующие действия по реагированию на обнаруженные IOC:
При реагировании на угрозы Kaspersky Endpoint Detection and Response Optimum и Kaspersky Sandbox могут автоматически создавать задачи поиска IOC. Вы также можете создать задачу вручную из окна деталей обнаружения, в Kaspersky Endpoint Security для Windows или в Kaspersky Endpoint Agent.
Подробнее о запуске задач поиска IOC см. в Справке Kaspersky Endpoint Security для Windows и в Справке Kaspersky Endpoint Agent.