Un indicador de vulneración (IOC, por sus siglas en inglés) consiste en una serie de datos referentes a un objeto o a una actividad que dan cuenta de una intrusión en el dispositivo (es decir, revelan que los datos del dispositivo quedaron expuestos). Por ejemplo, repetidos intentos fallidos de iniciar sesión en el sistema pueden constituir un indicador de vulneración. La tarea Análisis de IOC permite encontrar indicadores de vulneración en el dispositivo y realizar acciones de respuesta a la amenaza.
La búsqueda de IOC se realiza utilizando archivos de IOC. Los archivos de IOC contienen un conjunto de indicadores que se comparan con los indicadores de un evento. Cuando los indicadores del archivo coinciden con los del evento, la aplicación califica al evento de “alerta”. Los archivos de IOC deben cumplir con el estándar OpenIOC.
En Kaspersky Endpoint Detection and Response Optimum, la tarea Análisis de IOC se puede ejecutar de distintas maneras:
Una tarea grupal o local que se crea y configura manualmente en Kaspersky Security Center Web Console. Los archivos IOC que preparó se utilizan para ejecutar las tareas.
Una tarea de grupo que se crea automáticamente en respuesta a una amenaza detectada por Kaspersky Sandbox. La aplicación EPP genera un archivo de IOC automáticamente. No se admiten las operaciones con archivos de IOC personalizados. Las tareas se eliminan automáticamente una vez que transcurren siete días desde su último inicio o, si nunca se las inicia, desde su fecha de creación. Para obtener más información sobre las tareas de análisis de IOC independientes, consulte la Ayuda de Kaspersky Sandbox.
Cuando se detecta un IOC en un dispositivo, Kaspersky Endpoint Detection and Response Optimum lleva a cabo la acción de respuesta especificada. Las acciones disponibles para responder a IOC detectados son las siguientes:
Kaspersky Endpoint Detection and Response Optimum y Kaspersky Sandbox pueden crear automáticamente tareas de análisis de IOC como parte de una respuesta a amenazas. Este tipo de tareas también se puede crear manualmente desde la ventana de detalles de la alerta, en Kaspersky Endpoint Security para Windows o en Kaspersky Endpoint Agent.
Para obtener información sobre cómo ejecutar tareas de análisis de IOC, consulte la Ayuda de Kaspersky Endpoint Security para Windows y la Ayuda de Kaspersky Endpoint Agent.