セキュリティ侵害インジケーター(IOC)とは、デバイスへの認証されないアクセス(データ侵害)の痕跡を示すオブジェクトまたは活動に関する一連のデータです。たとえば、システムへのログインを複数回失敗すると、セキュリティ侵害インジケーターと判断される場合があります。IOC スキャンタスクは、デバイスでセキュリティ侵害インジケーターを検索し、脅威に対するレスポンス処理を実行するのに役立ちます。
IOC の検索には IOC ファイルが使用されます。IOC ファイルには、イベントのインジケーターと比較される一連のインジケーターが含まれています。比較したインジケーターが一致する場合、EPP アプリケーションはイベントをアラートだと判断します。IOC ファイルは、OpenIOC 標準に準拠している必要があります。
Kaspersky Endpoint Detection and Response Optimum と Kaspersky Security Center Web コンソールおよび Cloud コンソールで、グループおよびローカル IOC スキャン タスクを作成し、手動で設定できます。準備した IOC ファイルは、タスクの実行に使用されます。
Kaspersky Endpoint Security for Mac 12.2 以降では、IoC タスクの機能が拡張されています:
デバイスで IOC が検知されると、Kaspersky Endpoint Detection and Response Optimum は指定されたレスポンス処理を実行します。検知された IOC に対して、次のレスポンス処理を使用できます:
Kaspersky Endpoint Security for Mac 12.2 以降では、IOC スキャン タスクの実行レポートを表示する時、デバイスを手動で隔離したり、ファイルを隔離したりできます。
タスクは、アラートの詳細ウィンドウから、または Kaspersky Endpoint Security for Windows で手動で作成できます。
IOC スキャンタスクの実行方法の詳細は、Kaspersky Endpoint Security for Windows のヘルプ、Kaspersky Endpoint Security for Mac のヘルプ、Kaspersky Endpoint Security for Linux のヘルプを参照してください。
ページのトップに戻る