Индикатор компрометации (англ. Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к устройству (компрометация данных). Например, индикатором компрометации могут быть неоднократные неудачные попытки входа в систему. Задача Поиска IOC позволяет обнаруживать индикаторы компрометации на устройстве и выполнять действия по реагированию на угрозы.
Файлы IOC используются для поиска IOC. Файлы IOC содержат набор индикаторов, которые сравниваются с индикаторами события. Если сравниваемые показатели совпадают, EPP-программа считает событие алертом. IOC-файлы должны соответствовать стандарту описания OpenIOC.
Kaspersky Endpoint Detection and Response Optimum позволяет создавать и настраивать вручную групповые и локальные задачи Поиска IOC в Kaspersky Security Center Web Console и Cloud Console. Для запуска задач используются IOC-файлы, которые вы подготовили.
При обнаружении IOC на устройстве Kaspersky Endpoint Detection and Response Optimum выполняет заданное действие по реагированию. Доступны следующие действия по реагированию на обнаруженные IOC:
Вы можете создать задачу вручную из окна деталей алерта, в Kaspersky Endpoint Security для Windows или в Kaspersky Endpoint Agent.
Подробнее о запуске задач Поиска IOC см. в справке Kaspersky Endpoint Security для Windows, в справке Kaspersky Endpoint Security для Mac, в справке Kaspersky Endpoint Security для Linux и в справке Kaspersky Endpoint Agent.
В начало