关于 IOC 扫描任务

入侵指标 (IOC) 是一组关于对象或活动的数据，表示未经授权访问设备（数据泄漏）。例如，许多重复的登录系统的不成功尝试可能构成入侵指标。IOC 扫描任务允许在设备上检测入侵指标，并执行威胁响应操作。

IOC 文件用于搜索 IOC。IOC 文件包含一组与事件的指标进行比较的指标。如果比较的指标匹配，则 EPP 应用程序将事件视为警报。IOC 文件必须符合“OpenIOC 标准”。

Kaspersky Endpoint Detection and Response Optimum 允许您在 Kaspersky Security Center Web Console 和云控制台中创建和手动配置组和本地 IOC 扫描任务。您准备的 IOC 文件用于运行任务。

在 Kaspersky Endpoint Security for Mac 12.2或更高版本中，IOC任务功能得到了拓展：

• 该应用程序支持开放标准 STIX 版本 2.0 和 2.1 的 IOC 文件，用于描述入侵指标。
• 创建或编辑 IOC 扫描任务设置时，您可以在 Web Console 中直接编辑 IOC 文件。
• 您可以从包含文件哈希（md5 / sha256）或IP地址（IPv4 / IPv6）的文件创建IOC容器任务。

当在设备上检测到 IOC 时，卡巴斯基端点检测与响应 – 优选版会执行指定的响应操作。以下响应操作可用于检测到的 IOC：

• 从网络隔离设备。
• 运行关键区域扫描。
• 将副本移动到隔离区，并删除对象。

在 Kaspersky Endpoint Security for Mac 12.2或更高版本中，您可以在查看IOC任务执行报告时手动隔离设备或隔离文件。

您可以从警报详情窗口或在 Kaspersky Endpoint Security for Windows 中手动创建任务。

有关如何运行IOC扫描任务的详细信息，请参阅Kaspersky Endpoint Security for Windows帮助手册、Kaspersky Endpoint Security for Mac帮助手册以及Kaspersky Endpoint Security for Linux帮助手册。

页面顶部