Un indicatore di compromissione (IOC) è una serie di dati su un oggetto o un'attività che indica un accesso non autorizzato al computer (compromissione dei dati). Ad esempio, molti tentativi non riusciti di accesso al sistema possono costituire un indicatore di compromissione. Le attività di scansione IOC consentono di trovare indicatori di compromissione sul computer e di adottare misure di risposta alle minacce.
Kaspersky Endpoint Security ricerca gli indicatori di compromissione utilizzando i file IOC. I file IOC sono file che contengono le serie di indicatori che l'applicazione tenta di abbinare per eseguire un rilevamento. I file IOC devono essere conformi allo standard OpenIOC. Kaspersky Endpoint Security genera automaticamente i file IOC per Kaspersky Sandbox.
Modalità di esecuzione dell'attività di scansione IOC
L'applicazione crea attività di scansione IOC autonome per Kaspersky Sandbox. Attività di scansione IOC autonoma è un'attività di gruppo che viene creata automaticamente quando si reagisce a una minaccia rilevata da Kaspersky Sandbox. Kaspersky Endpoint Security genera automaticamente il file IOC. I file IOC personalizzati non sono supportati. Le attività vengono eliminate automaticamente 30 giorni dopo l'ora di creazione. Per altri dettagli sulle attività di scansione IOC autonome, consultare la Guida di Kaspersky Sandbox.
Impostazioni dell'attività Scansione IOC
Kaspersky Sandbox può creare ed eseguire automaticamente attività Scansione IOC quando reagisce alle minacce.
È possibile configurare le impostazioni solo in Web Console.
Affinché tutte le attività di scansione IOC standalone di Kaspersky Sandbox vengano eseguite correttamente, è necessario Kaspersky Security Center 13.2.
Per modificare le impostazioni dell'attività di scansione IOC:
Viene aperto l'elenco delle attività.
Verrà visualizzata la finestra delle proprietà dell'attività.
Questa opzione di pianificazione consente di conservare le risorse del computer durante l'utilizzo del computer.
È possibile visualizzare i risultati dell'attività nelle proprietà dell'attività nelle sezione Risultati. È possibile visualizzare le informazioni sugli indicatori di compromissione rilevati nelle proprietà dell'attività: Impostazioni applicazione → Risultati scansione IOC.
I risultati della scansione IOC vengono conservati per 30 giorni. Al termine di questo periodo, Kaspersky Endpoint Security elimina automaticamente le voci meno recenti.
Inizio pagina