Un indicatore di compromissione (IOC) è un set di dati su un oggetto o un'attività che indica l'accesso non autorizzato al dispositivo (compromissione dei dati). Ad esempio, ripetuti tentativi non riusciti di accesso al sistema possono costituire un indicatore di compromissione. L'attività di scansione IOC consente di trovare indicatori di compromissione nel dispositivo e di eseguire azioni di risposta alle minacce.
I file IOC vengono utilizzati per cercare gli IOC. I file IOC contengono una serie di indicatori che vengono confrontati con gli indicatori di un evento. Se gli indicatori confrontati corrispondono, l'applicazione EPP considera l'evento come un avviso. I file IOC devono essere conformi allo standard OpenIOC.
Kaspersky Endpoint Detection and Response Optimum offre le seguenti modalità per l'esecuzione delle attività di scansione IOC:
Un'attività locale o di gruppo creata e configurata manualmente in Kaspersky Security Center Web Console. I file IOC preparati vengono utilizzati per eseguire le attività.
Un'attività di gruppo che viene creata automaticamente quando si reagisce a una minaccia rilevata da Kaspersky Sandbox. L'applicazione EPP genera automaticamente un file IOC. Le operazioni con i file IOC personalizzati non sono supportate. Le attività vengono eliminate automaticamente sette giorni dopo l'ultimo avvio o dopo la creazione se le attività non sono mai state avviate. Per altre informazioni sulle attività di scansione IOC autonome, fare riferimento alla Guida di Kaspersky Sandbox.
Quando viene rilevato un IOC in un dispositivo, Kaspersky Endpoint Detection and Response Optimum esegue l'azione di risposta specificata. Per gli IOC rilevati sono disponibili le seguenti azioni di risposta:
Kaspersky Endpoint Detection and Response Optimum e Kaspersky Sandbox possono creare automaticamente attività di scansione IOC come parte di una risposta alle minacce. È inoltre possibile creare un'attività manualmente dalla finestra dei dettagli dell'avviso, in Kaspersky Endpoint Security for Windows o in Kaspersky Endpoint Agent.
Per informazioni dettagliate su come eseguire le attività di scansione IOC, fare riferimento alla Guida di Kaspersky Endpoint Security for Windows e alla Guida di Kaspersky Endpoint Agent.