Über die IOC-Untersuchungsaufgabe

Ein Kompromittierungsindikator (Indicator of Compromise – IOC) ist ein Datensatz, der sich auf ein Objekt oder eine Aktivität bezieht und auf unbefugten Zugriff auf das Gerät (Kompromittierung von Daten) hinweist. Beispielsweise können wiederholte erfolglose Versuche, sich beim System anzumelden, einen Kompromittierungsindikator darstellen. Mithilfe von IOC-Untersuchungsaufgaben können Sie Kompromittierungsindikatoren auf dem Gerät erkennen und Reaktionen auf Bedrohungen ausführen.

IOC-Dateien werden verwendet, um nach IOCs zu suchen. IOC-Dateien enthalten eine Reihe von Indikatoren, die mit den Indikatoren eines Ereignisses verglichen werden. Stimmen die verglichenen Indikatoren überein, betrachtet die EPP-Anwendung das Ereignis als alarmierend. IOC-Dateien müssen dem OpenIOC-Standard entsprechen.

Mit Kaspersky Endpoint Detection and Response Optimum können Sie Gruppen- und lokale IOC-Untersuchungsaufgaben in Kaspersky Security Center Web Console und Cloud Console erstellen und manuell konfigurieren. Zum Ausführen der Aufgaben werden die von Ihnen vorbereiteten IOC-Dateien verwendet.

Wenn auf einem Gerät ein IOC erkannt wird, führt Kaspersky Endpoint Detection and Response Optimum die angegebene Reaktion darauf aus. Für die erkannten IOCs stehen folgende Reaktionen zur Verfügung:

• Gerät vom Netzwerk isolieren.
• Untersuchung wichtiger Bereiche durchführen.
• Eine Kopie in Quarantäne verschieben und das Objekt löschen.

Sie können eine Aufgabe auch manuell über das Fenster mit den Alarm-Details, in Kaspersky Endpoint Security für Windows oder in Kaspersky Endpoint Agent erstellen.

Ausführliche Informationen zum Ausführen von IOC-Untersuchungsaufgaben finden Sie in der Hilfe zu Kaspersky Endpoint Security für Windows, in der Hilfe zu Kaspersky Endpoint Security for Mac, in der Hilfe zu Kaspersky Endpoint Security für Linux und in der Hilfe zu Kaspersky Endpoint Agent.