入侵指标 (IOC) 是一组关于对象或活动的数据,表示未经授权访问设备(数据泄漏)。例如,许多重复的登录系统的不成功尝试可能构成入侵指标。IOC 扫描任务允许在设备上检测入侵指标,并执行威胁响应操作。
IOC 文件用于搜索 IOC。IOC 文件包含一组与事件的指标进行比较的指标。如果比较的指标匹配,则 EPP 应用程序将事件视为警报。IOC 文件必须符合 OpenIOC 标准。
Kaspersky Endpoint Detection and Response Optimum 允许您在 Kaspersky Security Center Web Console 和云控制台中创建和手动配置组和本地 IOC 扫描任务。您准备的 IOC 文件用于运行任务。
当在设备上检测到 IOC 时,卡巴斯基端点检测与响应 – 优选版会执行指定的响应操作。以下响应操作可用于检测到的 IOC:
您也可以从 Kaspersky Endpoint Security for Windows 或 Kaspersky Endpoint Agent 的警报详情窗口手动创建任务。
有关如何运行 IOC 扫描任务的详细信息,请参阅 Kaspersky Endpoint Security for Windows 帮助、Kaspersky Endpoint Security for Mac 帮助、Kaspersky Endpoint Security for Linux 帮助和 Kaspersky Endpoint Agent 帮助。
页面顶部