Um Indicador de comprometimento (IOC) é um conjunto de dados sobre um objeto ou atividade que indica o acesso não autorizado ao dispositivo (comprometimento de dados). Por exemplo, a repetição de tentativas malsucedidas de entrar no sistema pode constituir um indicador de comprometimento. A tarefa Verificação de IOC permite detectar indicadores de comprometimento no dispositivo e tomar as medidas de resposta a ameaças.
Os arquivos IOC são usados para pesquisar IOCs. Os arquivos IOC contêm um conjunto de indicadores comparados aos indicadores de um evento. Caso os indicadores comparados correspondam, o aplicativo EPP considera o evento como alerta. Os arquivos IOC devem estar em conformidade com o padrão OpenIOC.
O Kaspersky Endpoint Detection and Response Optimum fornece os seguintes modos para executar as tarefas Verificação de IOC:
Um grupo ou tarefa local criada e configurada manualmente no Kaspersky Security Center Web Console. Os arquivos IOC que você preparou são usados para executar as tarefas.
Uma tarefa de grupo criada automaticamente ao reagir a uma ameaça detectada pelo Kaspersky Sandbox. O aplicativo EPP gera automaticamente um arquivo IOC. As operações com os arquivos IOC personalizados não são compatíveis. As tarefas são excluídas automaticamente, sete dias após a última hora de início ou após a criação, caso as tarefas nunca tenham sido executadas. Para obter mais informações sobre tarefas de verificação de IOC autônomas, consulte a Ajuda do Kaspersky Sandbox.
Quando um IOC é detectado em um dispositivo, o Kaspersky Endpoint Detection and Response Optimum executa a ação de resposta especificada. As seguintes ações de resposta estão disponíveis para IOCs detectados:
O Kaspersky Endpoint Detection and Response Optimum e o Kaspersky Sandbox podem criar automaticamente tarefas de verificação de IOC como parte de uma resposta a ameaças. Também é possível criar manualmente uma tarefa na janela de detalhes do alerta no Kaspersky Endpoint Security for Windows ou no Kaspersky Endpoint Agent.
Para obter detalhes sobre como executar tarefas de verificação de IOC, consulte a Ajuda do Kaspersky Endpoint Security for Windows e a Ajuda do Kaspersky Endpoint Agent.