Об индикаторах компрометации, IOC-файлах и IOC-правилах

Open Single Management Platform может выполнять проверку устройств на наличие индикаторов компрометации. Индикаторы компрометации (IOC) – это цифровые объекты, такие как хеши файлов или IP-адреса, которые могут предупреждать о кибератаке. Вы можете узнать больше о IOC на веб-сайте ИТ-энциклопедия "Лаборатории Касперского" и Securelist.

IOC-файлы

Несколько IOC можно объединить в структурированное описание в IOC-файле. Для таких файлов существует стандартный формат OpenIOC.

Ниже приведен пример простого IOC-файла.

<?xml version="1.0" encoding="us-ascii"?>

<short_description>Rule name</short_description>

<authored_by>Rule name</authored_by>

<authored_date>file creation date in the YYYY-MM-DDThh:mm:ss format</authored_date>

</IndicatorItem>

</Indicator>

</definition>

</ioc>

Вы можете создать свой IOC-файл в текстовом редакторе и сохранить его с расширением .ioc. В зависимости от приложения Endpoint Agent вы можете использовать термины OpenIOC, перечисленные в файлах:

Значок загрузки файла Условия OpenIOC для Kaspersky Endpoint Security для Windows

Значок загрузки файла Условия OpenIOC для Kaspersky Endpoint Security for Linux

Нет списка условий OpenIOC для Kaspersky Endpoint Security для Mac, поскольку Open Single Management Platform не отправляет задачи IOC-проверки в Kaspersky Endpoint Security для Mac.

IOC-правила

При импорте IOC-правила Open Single Management Platform извлекает структурированное описание из IOC-файла и создает правило на основе описания.

IOC-правила доступны в списке IOC-правил в интерфейсе Консоли OSMP → Обнаружение и реагирование → Ресурсы и сервисы → IOC-правила.

В начало