Ein Kompromittierungsindikator (Indicator of Compromise, IOC) bezeichnet eine Menge von Informationen über ein Objekt oder eine Aktivität, die auf einen unbefugten Zugriff auf ein Gerät hinweist (Kompromittierung der Daten). So kann beispielsweise eine hohe Anzahl an fehlgeschlagenen Anmeldeversuchen ein Indikator für eine Kompromittierung kann sein. Bei einer Integration von Kaspersky Endpoint Security mit Detection and Response-Lösungen können Sie auf geschützten Geräten Kompromittierungsindikatoren erkennen und Maßnahmen ergreifen, um auf Bedrohungen zu reagieren durchzuführen.
Die IOC-Untersuchung steht in Kaspersky Endpoint Security zur Verfügung, wenn eine der folgenden Bedingungen erfüllt ist:
Bei einer Integration mit Kaspersky Endpoint Detection and Response (KATA) wird die IOC-Untersuchung in Kaspersky Endpoint Detection and Response (KATA) ausgeführt.
Bei einer Integration mit Kaspersky Endpoint Detection and Response Optimum wird die IOC-Untersuchung mithilfe der Aufgabe zur IOC-Untersuchung durchgeführt (IOC Scan). Sie können die Aufgabe zur IOC-Untersuchung erstellen:
Wenn die Aufgabe IOC-Untersuchung ausgeführt wird, erfolgt die Prüfung anhand von IOC-Bewertungen (Eigenschaften eines IOC-Objekts, z. B. Hash einer Datei) nur im Hauptnamensraum des Betriebssystems. Die Aufgabe IOC-Untersuchung berechnet keine Hashes für Dateien, die größer als 200 MB sind.
Um nach Anzeichen einer Kompromittierung zu suchen, verwendet Kaspersky Endpoint Security IOC-Dateien, die vom Benutzer erstellt werden müssen. Wenn Sie einen Kompromittierungsindikator manuell hinzufügen möchten, machen Sie sich bitte mit den Anforderungen an IOC-Dateien vertraut. Wenn die IOC-Datei nicht den Anforderungen entspricht, kann sie von der Anwendung nicht verwendet werden.
Die IDs aller IOC-Dateien, die innerhalb einer IOC-Suchaufgabe verwendet werden, müssen eindeutig sein. Wenn Sie mehrere IOC-Dateien mit denselben IDs laden, verwendet die Anwendung nur eine dieser IOC-Dateien. Die restlichen IOC-Dateien werden automatisch ausgeschlossen.