Ein Kompromittierungsindikator (IOC) ist ein Datensatz, der sich auf ein Objekt oder eine Aktivität bezieht und der auf unbefugten Zugriff auf den Computer (Kompromittierung von Daten) hinweist. Beispielsweise können viele erfolglose Versuche, sich beim System anzumelden, einen Kompromittierungsindikator darstellen. Mithilfe von IOC-Untersuchungsaufgaben können Kompromittierungsindikatoren auf dem Computer gefunden werden, um dann Maßnahmen zur Reaktion auf Bedrohungen zu ergreifen.
Kaspersky Endpoint Security sucht mithilfe von IOC-Dateien nach Kompromittierungsindikatoren. IOC-Dateien sind Dateien, die Sätze von Indikatoren enthalten, mit denen die Anwendung nach Übereinstimmungen sucht. IOC-Dateien müssen dem OpenIOC-Standard entsprechen. Kaspersky Endpoint Security generiert automatisch IOC-Dateien für „Kaspersky Sandbox“.
Ausführungsmodus für IOC-Untersuchungsaufgaben
Das Programm erstellt eigenständige IOC-Untersuchungsaufgaben für „Kaspersky Sandbox“. Eine eigenständige IOC-Untersuchungsaufgabe ist eine Gruppenaufgabe, die automatisch erstellt wird, wenn auf eine durch „Kaspersky Sandbox“ erkannte Bedrohung reagiert wird. Kaspersky Endpoint Security erstellt die IOC-Datei automatisch. Benutzerdefinierte IOC-Dateien werden nicht unterstützt. Aufgaben werden 30 Tage nach dem Erstellen automatisch gelöscht. Weitere Informationen zu eigenständigen IOC-Untersuchungsaufgaben finden Sie in der Hilfe zur Kaspersky Sandbox.
Einstellungen von IOC-Untersuchungsaufgaben
„Kaspersky Sandbox“ kann als Reaktion auf Bedrohungen automatisch IOC-Untersuchungsaufgaben erstellen und ausführen.
Die Einstellungen können nur über die „Web Console“ konfiguriert werden.
Damit die eigenständigen IOC-Untersuchungsaufgaben von „Kaspersky Sandbox“ funktionieren, benötigen Sie Kaspersky Security Center 13.2.
Um die Einstellungen der IOC-Untersuchungsaufgabe zu ändern:
Die Aufgabenliste wird geöffnet.
Das Fenster mit den Aufgabeneigenschaften wird geöffnet.
Mit dieser Zeitplanoption können Sie die Computerressourcen schonen, während der Computer verwendet wird.
Die Ergebnisse der Aufgabe können Sie in den Aufgabeneigenschaften im Abschnitt Ergebnisse einsehen. Sie können die Informationen zu erkannten Gefährdungsindikatoren in den Aufgabeneigenschaften anzeigen: Programmeinstellungen → IOC-Untersuchungsergebnisse.
IOC-Untersuchungsergebnisse werden für 30 Tage gespeichert. Nach diesem Zeitraum löscht Kaspersky Endpoint Security automatisch die ältesten Einträge.
Nach oben