Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к устройству (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. При интеграции Kaspersky Endpoint Security с решениями Detection and Response вы можете обнаруживать на защищаемых устройствах индикаторы компрометации и выполнять действия по реагированию на угрозы.
Функциональность поиска IOC доступна в приложении Kaspersky Endpoint Security при выполнении одного из следующих условий:
При интеграции с Kaspersky Endpoint Detection and Response (KATA) поиск IOC выполняется на стороне решения Kaspersky Endpoint Detection and Response (KATA).
При интеграции с Kaspersky Endpoint Detection and Response Optimum поиск IOC выполняется с помощью задачи Поиск IOC (IOC Scan). Вы можете создавать задачи поиска IOC:
При выполнении задачи поиска IOC проверка по IOC-терминам (свойствам IOC-объекта, например, хеш-сумме файла) выполняется только в основном пространстве имен операционной системы. Задача поиска IOC не вычисляет хеш-суммы файлов размером более 200 МБ.
Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы, подготовленные пользователем. Если вы хотите добавить индикатор компрометации вручную, ознакомьтесь с требованиями к IOC-файлам. Если IOC-файл не соответствует требованиям, приложение не сможет его использовать.
Идентификаторы всех IOC-файлов, которые используются в одной задаче поиска IOC, должны быть уникальными. Если вы загружаете несколько IOC-файлов с одинаковыми идентификаторами, то приложение использует только один из этих IOC-файлов. Остальные IOC-файлы будут автоматически исключены.