配置 IoC 扫描以检测潜在威胁

通过使用 IoC 扫描，您可以配置定期搜索设备上的入侵指标 (IoC)，并在发现 IoC 时自动采取响应措施。

您可以定义三种 IoC 扫描的设置：

• 主动扫描

  如果您发现某处（例如互联网）的某种威胁具有一组 IoC 特征，则可以将这些 IoC 添加到此扫描中，以便检查用户设备。

  扫描范围是所有用户 Windows 设备。扫描范围不可修改。之后新增的所有设备都将自动纳入扫描范围。

• 被动扫描

  如果 Kaspersky Endpoint Security Cloud 在您的某个用户设备上检测到威胁，您可以将该威胁的 IoC 添加到此扫描中，以便检查其他设备。

  扫描范围是所有用户 Windows 设备。扫描范围不可修改。之后新增的所有设备都将自动纳入扫描范围。

• 自定义扫描

  您可以将任何威胁添加到此扫描中，以便检查用户设备。

  扫描范围是自定义的用户 Windows 设备。之后新增的所有设备都将自动纳入扫描范围。

之后，在对端点保护平台 (EPP) 在用户设备上检测到的警报进行分析时，您可以将发现的 IoC 添加到“被动扫描”的设置中，以检查其他设备是否存在相同的威胁。

要配置 IoC 扫描：

1. 打开 Kaspersky Endpoint Security Cloud 管理控制台。
2. 选择“安全管理”→“Endpoint Detection and Response”部分。
3. 单击“IoC 扫描”按钮。
4. 在打开的“IoC 扫描”窗口中，定义所需 IoC 扫描的设置。
5. 单击“关闭”以关闭“IoC 扫描”窗口。

IoC 扫描已配置。

本章节内容 将威胁添加至 IoC 扫描 注册表中的 IoC 扫描范围 定义 IoC 扫描设置 将 IoC 扫描设置重置为默认值

页面顶部