将威胁添加至 IoC 扫描

在设备上配置定期扫描威胁时，或在某台用户设备上检测到威胁后，您可以将威胁添加至 IoC 扫描，以便检查其他设备是否存在该威胁。

对于每次 IoC 扫描，您最多可以添加 200 个威胁。

要将威胁添加至 IoC 扫描：

1. 打开 Kaspersky Next 管理控制台。
2. 选择“安全管理”→“Endpoint Detection and Response”部分。
3. 单击“IoC 扫描”按钮。
4. 通过以下任一方式添加威胁：
   • 要将威胁添加至“主动扫描”，请单击“添加威胁”按钮。
   • 要将威胁添加至任何扫描，请单击相应图块上的“查看”链接，然后单击“添加”按钮。

   “添加威胁”窗口打开。

5. 输入威胁名称。
6. 如有必要，请输入威胁描述。
7. 在“入侵指标 (IoC)”下，指定此威胁的 IoC：
   1. 如果您计划指定两个或更多 IoC，请在“检测标准”列表中选择检测条件（逻辑运算符）：
      • 如果您希望在设备上发现至少一个 IoC 时触发警报（OR 逻辑运算符），请选择“符合以下任一标准”。
      • 如果您希望仅在设备上同时发现所有 IoC 时才触发警报（AND 逻辑运算符），请选择“符合以下所有标准”。
   2. 在“指标 1”下，选择 IoC 类型，然后指定其值。

      将注册表项添加为 IoC 时，从注册表配置单元开始（例如，HKEY_LOCAL_MACHINE\Software\Microsoft）。
      将注册表项添加为 IoC 后，Kaspersky Endpoint Security for Windows 只会扫描部分注册表项。

   3. 如果要将更多 IoC 添加至威胁，请单击“+ 添加指标”，然后指定其他 IoC。

      对于每个威胁，您最多可以添加 100 个 IoC。

8. 单击“保存”以保存更改。

该威胁已添加至所选的 IoC 扫描。

页面顶部