入侵指标 (IOC) 是一组有关对象或活动的数据,指示对设备的未经授权访问(入侵数据)。例如,入侵指标可能是很大的失败登录尝试次数。当 Kaspersky Endpoint Security 与 Detection and Response 解决方案集成时,您可以检测受保护设备上的入侵指标并执行威胁响应操作。
如果满足以下任一条件,则可以使用 Kaspersky Endpoint Security 应用程序的 IOC 扫描功能:
与 Kaspersky Endpoint Detection and Response (KATA) 集成时,在 Kaspersky Endpoint Detection and Response (KATA) 解决方案端执行 IOC 扫描。
与 Kaspersky Endpoint Detection and Response Optimum 集成时,使用 IOC 扫描任务执行 IOC 扫描。您可以创建 IOC 扫描任务:
IOC 扫描任务仅在操作系统的主命名空间中检查 IOC 项(IOC 对象的属性,例如文件哈希)。IOC 扫描任务不计算大于 200 MB 的文件的哈希。
为了搜索入侵指标,Kaspersky Endpoint Security 使用用户准备的 IOC 文件。如果您想手动添加入侵指标,请参阅IOC 文件要求。如果 IOC 文件不符合要求,应用程序将无法使用它。
IOC 扫描任务中使用的所有 IOC 文件的 ID必须是唯一的。如果加载具有相同 ID 的多个 IOC 文件,则应用程序仅使用其中一个 IOC 文件。其他 IOC 文件将被自动排除。