Un indicatore di compromissione (IOC) è un set di dati su un oggetto o un'attività che indica l'accesso non autorizzato al dispositivo (compromissione dei dati). Ad esempio, ripetuti tentativi non riusciti di accesso al sistema possono costituire un indicatore di compromissione. L'attività di scansione IOC consente di trovare indicatori di compromissione nel dispositivo e di eseguire azioni di risposta alle minacce.
I file IOC vengono utilizzati per cercare gli IOC. I file IOC contengono una serie di indicatori che vengono confrontati con gli indicatori di un evento. Se gli indicatori confrontati corrispondono, l'applicazione EPP considera l'evento come un avviso. I file IOC devono essere conformi allo standard OpenIOC.
Kaspersky Endpoint Detection and Response Optimum consente di creare e configurare manualmente attività di scansione IOC di gruppo e locali in Kaspersky Security Center Web Console e Cloud Console. I file IOC preparati vengono utilizzati per eseguire le attività.
Quando viene rilevato un IOC in un dispositivo, Kaspersky Endpoint Detection and Response Optimum esegue l'azione di risposta specificata. Per gli IOC rilevati sono disponibili le seguenti azioni di risposta:
È possibile creare un'attività manualmente dalla finestra dei dettagli dell'avviso, in Kaspersky Endpoint Security for Windows o in Kaspersky Endpoint Agent.
Per informazioni dettagliate su come eseguire le attività di scansione IOC, fare riferimento alla Guida di Kaspersky Endpoint Security for Windows, alla Guida di Kaspersky Endpoint Security for Mac, alla Guida di Kaspersky Endpoint Security for Linux e alla Guida di Kaspersky Endpoint Agent.
Inizio pagina