Un indicateur de compromission (IOC) est un ensemble de données concernant un objet ou une activité qui indique un accès non autorisé à l’appareil (compromission des données). Par exemple, des tentatives répétées et infructueuses de connexion au système peuvent constituer un indicateur de compromission. La tâche d’analyse IOC vous permet de détecter les indicateurs de compromission sur l’appareil et de déclencher des actions de réponse aux menaces.
Les fichiers IOC sont utilisés pour rechercher des IOC. Les fichiers IOC contiennent un ensemble d’indicateurs qui sont comparés aux indicateurs d’un événement. Si les indicateurs comparés correspondent, l’application EPP considère l’événement comme étant une alerte. Les fichiers IOC doivent être conformes à la norme OpenIOC.
Kaspersky Endpoint Detection and Response Optimum propose les modes suivants pour l’exécution des tâches d’analyse IOC :
Une tâche de groupe ou locale qui est créée et configurée manuellement dans Kaspersky Security Center Web Console. Les fichiers IOC que vous avez préparés sont utilisés pour exécuter les tâches.
Une tâche de groupe qui est automatiquement créée lors de la réaction à une menace détectée par Kaspersky Sandbox. L’application EPP génère automatiquement un fichier IOC. Les opérations avec des fichiers IOC personnalisés ne sont pas prises en charge. Les tâches sont automatiquement supprimées sept jours après le dernier lancement ou après la création si la tâche n’a jamais été exécutée. Pour en savoir plus sur les tâches autonomes d’analyse IOC, consultez l’aide de Kaspersky Sandbox.
Lorsqu'un IOC est détecté sur un appareil, Kaspersky Endpoint Detection and Response Optimum exécute l'action de réponse indiquée. Les actions de réponse suivantes sont disponibles pour les IOC détectés :
Kaspersky Endpoint Detection and Response Optimum et Kaspersky Sandbox peuvent créer automatiquement des tâches d'analyse IOC dans le cadre d'une réponse contre une menace. Vous pouvez également créer une tâche manuellement à partir de la page des détails de l’alerte, ou dans Kaspersky Endpoint Security pour Windows ou Kaspersky Endpoint Agent.
Pour obtenir plus de détails sur l'exécution de tâches d'analyse IOC, consultez l'aide de Kaspersky Endpoint Security for Windows et l'aide de Kaspersky Endpoint Agent.