入侵指标 (IOC) 是一组关于对象或活动的数据,表示未经授权访问设备(数据泄露)。例如,许多登录系统的不成功尝试可能构成入侵指标。IOC 扫描任务允许在设备上检测入侵指标,并采取威胁响应措施。
IOC 文件用于搜索 IOC。IOC 文件包含一组与事件的指标进行比较的指标。如果比较的指标匹配,则 EPP 应用程序将事件视为警报。IOC 文件必须符合 OpenIOC 标准。
卡巴斯基端点检测与响应 – 优选版提供以下模式来运行 IOC 扫描任务:
在 Kaspersky Security Center Web Console 中手动创建和配置的组或本地任务。您准备的 IOC 文件用于运行任务。
在对 Kaspersky Sandbox 检测到的威胁作出反应时自动创建的组任务。EPP 应用程序自动生成一个 IOC 文件。不支持使用自定义 IOC 文件进行操作。如果任务从未运行,则任务将在上次启动时间或创建时间后七天自动删除。有关自主 IOC 扫描任务的更多信息,请参阅 Kaspersky Sandbox 帮助。
当在设备上检测到 IOC 时,卡巴斯基端点检测与响应 – 优选版会执行指定的响应操作。以下响应操作可用于检测到的 IOC:
卡巴斯基端点检测与响应 – 优选版和 Kaspersky Sandbox 可以自动创建 IOC 扫描任务作为威胁响应的一部分。您也可以从 Kaspersky Endpoint Security for Windows 或 Kaspersky Endpoint Agent 的警报详情窗口手动创建任务。
有关如何运行 IOC 扫描任务的详细信息,请参阅Kaspersky Endpoint Security for Windows 帮助和 Kaspersky Endpoint Agent 帮助。