入侵指標 (IOC)是關於物件或活動的一組資料,表示對裝置進行了未經授權的存取(洩漏資料)。例如,登入嘗試失敗的次數較多就可能是入侵指標。Kaspersky Endpoint Security 與 Detection and Response 解決方案整合時,您可以偵測受防護裝置上的入侵指標並執行威脅回應動作。
如果符合下列條件之一,則可在 Kaspersky Endpoint Security 應用程式中使用 IOC 掃描功能:
與 Kaspersky Endpoint Detection and Response (KATA) 整合後,系統會在 Kaspersky Endpoint Detection and Response (KATA) 解決方案中執行 IOC 掃描。
與 Kaspersky Endpoint Detection and Response Optimum 整合後,使用 IOC 掃描工作執行 IOC 掃描。您可以透過以下方式建立 IOC 掃描工作:
IOC 掃描工作僅在作業系統的主命名空間中檢查 IOC 術語(IOC 物件的屬性,例如檔案雜湊)。IOC 掃描工作不會計算大於 200 MB 的檔案雜湊值。
為了搜尋入侵指標,Kaspersky Endpoint Security 會使用為使用者準備的IOC 檔案。如果您想手動新增入侵指標,請參閱IOC 檔案要求。如果 IOC 檔案不符合要求,應用程式將無法使用它。
IOC 掃描工作中使用的所有 IOC 檔案的 ID必須是唯一的。如果載入具有相同 ID 的多個 IOC 檔案,則應用程式僅使用其中一個 IOC 檔案。其他 IOC 檔案將被自動排除。