Un indicateur de compromission (IOC) est un ensemble de données concernant un objet ou une activité qui indique un accès non autorisé à l’appareil (compromission des données). Par exemple, des tentatives répétées et infructueuses de connexion au système peuvent constituer un indicateur de compromission. La tâche d’analyse IOC vous permet de détecter les indicateurs de compromission sur l’appareil et de déclencher des actions de réponse aux menaces.
Les fichiers IOC sont utilisés pour rechercher des IOC. Les fichiers IOC contiennent un ensemble d’indicateurs qui sont comparés aux indicateurs d’un événement. Si les indicateurs comparés correspondent, l’application EPP considère l’événement comme étant une alerte. Les fichiers IOC doivent être conformes à la norme OpenIOC.
Kaspersky Endpoint Detection and Response Optimum permet de créer et de configurer manuellement des tâches d’analyse IOC locales et de groupe dans Kaspersky Security Center Web Console et Cloud Console. Les fichiers IOC que vous avez préparés sont utilisés pour exécuter les tâches.
Dans Kaspersky Endpoint Security for Mac 12.2 ou version ultérieure, la fonctionnalité de la tâche Analyse IOC est étendue :
Lorsqu’un IOC est détecté sur un appareil, Kaspersky Endpoint Detection and Response Optimum exécute l’action de réponse indiquée. Les actions de réponse suivantes sont disponibles pour les IOC détectés :
Dans Kaspersky Endpoint Security for Mac 12.2 ou version ultérieure, vous pouvez isoler manuellement un appareil ou mettre un fichier en quarantaine lors de la consultation du rapport sur l'exécution d'une tâche Analyse IOC.
Vous pouvez créer une tâche manuellement à partir de la page des détails de l'alerte ou dans Kaspersky Endpoint Security for Windows.
Pour découvrir comment lancer la tâche Analyse IOC, consultez l’aide de Kaspersky Endpoint Security for Windows, l’aide de Kaspersky Endpoint Security for Mac et l’aide de Kaspersky Endpoint Security for Linux.
Page top