Индикатор компрометации (англ. Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к устройству (компрометация данных). Например, индикатором компрометации могут быть неоднократные неудачные попытки входа в систему. Задача Поиска IOC позволяет обнаруживать индикаторы компрометации на устройстве и выполнять действия по реагированию на угрозы.
Файлы IOC используются для поиска IOC. Файлы IOC содержат набор индикаторов, которые сравниваются с индикаторами события. Если сравниваемые показатели совпадают, EPP-программа считает событие алертом. IOC-файлы должны соответствовать стандарту OpenIOC.
Kaspersky Endpoint Detection and Response Optimum позволяет создавать и настраивать вручную групповые и локальные задачи Поиска IOC в Kaspersky Security Center Web Console и Cloud Console. Для запуска задач используются IOC-файлы, которые вы подготовили.
В Kaspersky Endpoint Security для Mac версии 12.2 и более поздних расширены функциональные возможности задачи Поиск IOC:
При обнаружении IOC на устройстве Kaspersky Endpoint Detection and Response Optimum выполняет заданное действие по реагированию. Доступны следующие действия по реагированию на обнаруженные IOC:
В Kaspersky Endpoint Security для Mac версии 12.2 и более поздних при просмотре отчета о выполнении задачи Поиск IOC можно вручную изолировать устройство или поместить файл на карантин.
Задачу также можно создать вручную в окне деталей алерта или в Kaspersky Endpoint Security для Windows.
Порядок запуска задачи Поиск IOC подробно описан в справке Kaspersky Endpoint Security для Windows, в справке Kaspersky Endpoint Security для Mac и в справке Kaspersky Endpoint Security для Linux.
В начало