妥协的指标 (IOC) 是一组关于对象或活动的数据,表示未经授权访问计算机(数据泄露)。例如,许多登录系统的尝试都不成功,这可能构成妥协的指标。IOC 扫描任务允许在计算机上查找妥协的指标,并采取威胁响应措施。
Kaspersky Endpoint Security 使用 IOC 文件搜索妥协的指标。IOC 文件是包含应用程序尝试匹配以计数检测的指标集的文件。IOC 文件必须符合 OpenIOC 标准。Kaspersky Endpoint Security 自动为 Kaspersky Sandbox 生成 IOC 文件。
IOC 扫描任务运行模式
应用程序为 Kaspersky Sandbox 创建独立 IOC 扫描任务。独立 IOC 扫描任务是在对 Kaspersky Sandbox 检测到的威胁作出反应时自动创建的组任务。Kaspersky Endpoint Security 自动生成 IOC 文件。不支持自定义 IOC 文件。任务在创建时间 30 天后被自动删除。有关独立 IOC 扫描任务的更多详细信息,请参阅 Kaspersky Sandbox 帮助。
IOC 扫描 任务设置
Kaspersky Sandbox 在响应威胁时可能自动创建并运行“IOC 扫描”任务。
您仅可以在 Web Console 中配置设置。
您需要 Kaspersky Security Center 13.2 以便 Kaspersky Sandbox 的独立 IOC 扫描任务可以正常运行。
要更改“IOC 扫描”任务设置:
任务列表打开。
任务属性窗口将打开。
此计划选项允许您在使用计算机时节省计算机资源。
您可以在“结果”部分的“任务属性”中查看任务结果。您可以在任务属性中查看有关检测到的入侵指标的信息:应用程序设置 → IOC 扫描结果。
IOC 扫描结果被保存 30 天。在此时间之后,Kaspersky Endpoint Security 将自动删除最早条目。
页面顶部