Об индикаторах компрометации, IOC-файлах и IOC-правилах

Kaspersky EDR Expert может выполнять проверку устройств на наличие индикаторов компрометации. Индикаторы компрометации (IOC) – это цифровые объекты, такие как хеши файлов или IP-адреса, которые могут предупреждать о кибератаке. Вы можете узнать больше о IOC на веб-сайте ИТ-энциклопедия "Лаборатории Касперского" и Securelist.

IOC-файлы

Несколько IOC можно объединить в структурированное описание в IOC-файле. Для таких файлов существует стандартный формат OpenIOC.

Ниже приведен пример простого IOC-файла.

<?xml version="1.0" encoding="us-ascii"?>

<short_description>Rule name</short_description>

<authored_by>Rule name</authored_by>

<authored_date>file creation date in the YYYY-MM-DDThh:mm:ss format</authored_date>

</IndicatorItem>

</Indicator>

</definition>

</ioc>

Вы можете создать свой IOC-файл в текстовом редакторе и сохранить его с расширением .ioc. В зависимости от приложения Endpoint Agent вы можете использовать термины OpenIOC, перечисленные в файлах:

Значок загрузки файла Условия OpenIOC для Kaspersky Endpoint Security для Windows

Значок загрузки файла Условия OpenIOC для Kaspersky Endpoint Security for Linux

Списка условий OpenIOC для Kaspersky Endpoint Security для Mac не существует, поскольку Kaspersky EDR Expert не отправляет задачи IOC-проверки в Kaspersky Endpoint Security для Mac.

IOC-правила

При импорте IOC-правила Kaspersky EDR Expert извлекает структурированное описание из IOC-файла и создает правило на основе этого описания.

IOC-правила доступны в списке IOC-правил в интерфейсе Консоли OSMP → Обнаружение и реагирование → Ресурсы и сервисы → IOC-правила.

В начало