Индикатор компрометации (Indicator of Compromise, IOC) – набор данных об объекте или активности, который указывает на несанкционированный доступ к компьютеру (компрометация данных). Например, индикатором компрометации может быть большое количество неудачных попыток входа в систему. Задача Поиск IOC позволяет обнаруживать индикаторы компрометации на компьютере и выполнять действия по реагированию на угрозы.
Для поиска индикаторов компрометации Kaspersky Endpoint Security использует IOC-файлы. IOC-файлы – файлы, содержащие набор индикаторов, при совпадении с которыми приложение считает событие обнаружением. IOC-файлы должны соответствовать стандарту описания OpenIOC. Kaspersky Endpoint Security автоматические формирует IOC-файлы для работы Kaspersky Sandbox.
Режим запуска задачи Поиск IOC
Для работы Kaspersky Sandbox приложение создает автономные задачи поиска IOC. Автономная задача поиска IOC – групповая задача, которая создается автоматически при реагировании на угрозу, обнаруженную Kaspersky Sandbox. Kaspersky Endpoint Security автоматически формирует IOC-файл. Работа пользователя с IOC-файлами не предусмотрена. Задачи автоматически удаляются через 30 дней с момента создания. Подробнее об автономных задачах поиска IOC см. в справке Kaspersky Sandbox.
Настройка задачи Поиск IOC
При реагировании на угрозы Kaspersky Sandbox автоматически создает и запускает задачи Поиск IOC.
Вы можете настроить параметры задачи только в Web Console.
Для работы с автономными задачами поиска IOC требуется Kaspersky Security Center версии 13.2.
Чтобы изменить параметры задачи Поиск IOC, выполните следующие действия:
Откроется список задач.
Откроется окно свойств задачи.
Этот вариант расписания позволяет экономить вычислительную мощность компьютера во время работы.
Вы можете просмотреть результаты выполнения задачи в свойствах задачи в разделе Результаты. Информацию об обнаруженных индикаторах компрометации вы можете посмотреть в свойствах задачи Параметры программы → Результаты поиска IOC.
Срок хранения результатов поиска IOC составляет 30 дней. По истечении этого времени Kaspersky Endpoint Security автоматически удаляет старые записи.
В начало