Creazione di un'attività di scansione IOC dai dettagli dell'avviso

Per creare un'attività di scansione IOC dai dettagli dell'avviso:

1. Aprire i dettagli dell'avviso.
2. Nella scheda Tutti gli eventi avviso selezionare gli elementi da cui si desidera creare un'attività di scansione IOC.
3. Fare clic su Crea IOC.
4. Selezionare i criteri di attivazione per l'indicatore di compromissione:
   • Se si desidera che l'indicatore di compromissione venga attivato quando viene rilevato uno degli oggetti selezionati, selezionare O sul lato destro dello schermo.
   • Se si desidera che l'indicatore di compromissione venga attivato quando vengono rilevati tutti gli oggetti selezionati, selezionare E sul lato destro dello schermo.
5. Selezionare le azioni da eseguire quando viene attivato l'IOC:
   • Isola il dispositivo dalla rete.
   • Esegui scansione delle aree critiche.
   • Mettere una copia in quarantena ed eliminare l'oggetto.
6. Fare clic su Crea attività.

È possibile visualizzare le attività create nella sezione Dispositivi → Attività.

Quando si crea un'attività di scansione IOC per l'oggetto selezionato (file o processo) dai dettagli dell'avviso, viene automaticamente creato un IOC con il termine FileItem. Per informazioni dettagliate sui termini IOC, fare riferimento alla Guida di Kaspersky Endpoint Security for Windows, alla Guida di Kaspersky Endpoint Security for Mac, alla Guida di Kaspersky Endpoint Security for Linux e alla Guida di Kaspersky Endpoint Agent.

Inizio pagina