Индикатор компрометации (англ. Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к устройству (компрометация данных). Например, индикатором компрометации может быть неоднократные неудачные попытки входа в систему. Задача Поиска IOC позволяет обнаруживать индикаторы компрометации на устройстве и выполнять действия по реагированию на угрозы.
Файлы IOC используются для поиска IOC. Файлы IOC содержат набор индикаторов, которые сравниваются с индикаторами события. Если сравниваемые показатели совпадают, EPP-программа считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC.
В Kaspersky Endpoint Detection and Response Optimum предусмотрены следующие режимы запуска задач поиска IOC:
Групповая или локальная задача, которая создается и настраивается вручную в Kaspersky Security Center Web Console. Для запуска задач используются IOC-файлы, которые вы подготовили.
Групповая задача, которая создается автоматически при реагировании на угрозу, обнаруженную Kaspersky Sandbox. EPP-программа автоматически формирует IOC-файл. Работа с пользовательскими IOC-файлами не предусмотрена. Задачи автоматически удаляются через семь дней после последнего запуска или с момента создания, если задачи не запускались. Подробнее об автономных задачах поиска IOC см. в справке Kaspersky Sandbox.
При обнаружении IOC на устройстве Kaspersky Endpoint Detection and Response Optimum выполняет заданное действие по реагированию. Доступны следующие действия по реагированию на обнаруженные IOC:
При реагировании на угрозы Kaspersky Endpoint Detection and Response Optimum и Kaspersky Sandbox могут автоматически создавать задачи Поиска IOC. Вы также можете создать задачу вручную из окна деталей обнаружения, в Kaspersky Endpoint Security для Windows или в Kaspersky Endpoint Agent.
Подробнее о запуске задач Поиска IOC см. в справке Kaspersky Endpoint Security для Windows и в справке Kaspersky Endpoint Agent.