Ein Kompromittierungsindikator (Indicator of Compromise – IOC) ist ein Datensatz, der sich auf ein Objekt oder eine Aktivität bezieht und auf unbefugten Zugriff auf das Gerät (Kompromittierung von Daten) hinweist. Beispielsweise können wiederholte erfolglose Versuche, sich beim System anzumelden, einen Kompromittierungsindikator darstellen. Mithilfe von IOC-Untersuchungsaufgaben können Sie Kompromittierungsindikatoren auf dem Gerät erkennen und Reaktionen auf Bedrohungen ausführen.
IOC-Dateien werden verwendet, um nach IOCs zu suchen. IOC-Dateien enthalten eine Reihe von Indikatoren, die mit den Indikatoren eines Ereignisses verglichen werden. Stimmen die verglichenen Indikatoren überein, betrachtet die EPP-Anwendung das Ereignis als alarmierend. IOC-Dateien müssen dem OpenIOC-Standard entsprechen.
Mit Kaspersky Endpoint Detection and Response Optimum können Sie Gruppen- und lokale IOC-Untersuchungsaufgaben in Kaspersky Security Center Web Console und Cloud Console erstellen und manuell konfigurieren. Zum Ausführen der Aufgaben werden die von Ihnen vorbereiteten IOC-Dateien verwendet.
In Kaspersky Endpoint Security for Mac 12.2 oder höher wurde die Funktionalität der Aufgabe zur IOC-Untersuchung erweitert:
Wenn auf einem Gerät ein IOC erkannt wird, führt Kaspersky Endpoint Detection and Response Optimum die angegebene Reaktion darauf aus. Für die erkannten IOCs stehen folgende Reaktionen zur Verfügung:
In Kaspersky Endpoint Security for Mac 12.2 oder höher können Sie ein Gerät manuell isolieren oder eine Datei in die Quarantäne verschieben, während Sie den Ausführungsbericht einer Aufgabe zur IOC-Untersuchung anzeigen.
Sie können eine Aufgabe manuell aus dem Fenster mit den Alarm-Details oder in Kaspersky Endpoint Security für Windows erstellen.
Ausführliche Informationen über die Ausführung von IOC-Untersuchungsaufgaben finden Sie in der Hilfe zu Kaspersky Endpoint Security für Windows, in der Hilfe zu Kaspersky Endpoint Security for Mac und in der Hilfe zu Kaspersky Endpoint Security für Linux.
Nach oben