Ein Kompromittierungsindikator (IOC) ist ein Datensatz, der sich auf ein Objekt oder eine Aktivität bezieht und der auf unbefugten Zugriff auf den Computer (Kompromittierung von Daten) hinweist. Beispielsweise können viele erfolglose Versuche, sich beim System anzumelden, einen Kompromittierungsindikator darstellen. Mithilfe der Aufgabe IOC-Untersuchung können Kompromittierungsindikatoren auf dem Computer gefunden und Maßnahmen zur Reaktion auf Bedrohungen ergreifen werden.
Kaspersky Endpoint Security sucht mithilfe von IOC-Dateien nach Kompromittierungsindikatoren. IOC-Dateien sind Dateien, die Sätze von Indikatoren enthalten, mit denen die Anwendung nach Übereinstimmungen sucht. IOC-Dateien müssen dem OpenIOC-Standard entsprechen. Kaspersky Endpoint Security generiert automatisch IOC-Dateien für „Kaspersky Sandbox“.
Ausführungsmodus der Aufgabe IOC-Untersuchung
Das Programm erstellt eigenständige IOC-Untersuchungsaufgaben für „Kaspersky Sandbox“. Eine eigenständige IOC-Untersuchungsaufgabe ist eine Gruppenaufgabe, die automatisch erstellt wird, wenn auf eine durch „Kaspersky Sandbox“ erkannte Bedrohung reagiert wird. Kaspersky Endpoint Security erstellt die IOC-Datei automatisch. Benutzerdefinierte IOC-Dateien werden nicht unterstützt. Aufgaben werden 30 Tage nach dem Erstellen automatisch gelöscht. Weitere Informationen zu eigenständigen IOC-Untersuchungsaufgaben finden Sie in der Hilfe zur Kaspersky Sandbox.
Einstellungen der Aufgabe IOC-Untersuchung
Kaspersky Sandbox kann als Reaktion auf Bedrohungen automatisch IOC-Untersuchung-Aufgaben erstellen und ausführen.
Die Einstellungen können nur über die „Web Console“ konfiguriert werden.
Damit die eigenständigen IOC-Untersuchungsaufgaben von „Kaspersky Sandbox“ funktionieren, benötigen Sie Kaspersky Security Center 13.2.
Um die Einstellungen der Aufgabe IOC-Untersuchung zu ändern:
Die Aufgabenliste wird geöffnet.
Das Fenster mit den Aufgabeneigenschaften wird geöffnet.
Mit dieser Zeitplanoption können Sie die Computerressourcen schonen, während der Computer verwendet wird.
Die Ergebnisse der Aufgabe können Sie in den Aufgabeneigenschaften im Abschnitt Ergebnisse einsehen. Sie können die Informationen zu erkannten Kompromittierungsindikatoren in den Aufgabeneigenschaften anzeigen: Programmeinstellungen → IOC-Untersuchungsergebnisse.
IOC-Untersuchungsergebnisse werden für 30 Tage gespeichert. Nach diesem Zeitraum löscht Kaspersky Endpoint Security automatisch die ältesten Einträge.
Nach oben