Indicateur de compromission (Indicator of Compromise, IOC) est un ensemble de données sur un objet ou une activité qui indique un accès non autorisé à un appareil (compromission de données). Par exemple, un indicateur de compromission pourrait être un nombre élevé de tentatives de connexion échouées. En intégrant Kaspersky Endpoint Security avec les solutions Detection and Response, vous pouvez détecter les indicateurs de compromission sur les appareils protégés et prendre des mesures pour répondre aux menaces.
La fonctionnalité d'analyse IOC est disponible dans l'application Kaspersky Endpoint Security si l'une des conditions suivantes est remplie :
Lors de l'intégration Kaspersky Endpoint Detection and Response (KATA), l'analyse IOC est effectuée du côté de la solution Kaspersky Endpoint Detection and Response (KATA).
Lorsqu'elle est intégrée avec Kaspersky Endpoint Detection and Response Optimum, l'analyse IOC est effectuée à l'aide de la tâche Analyse IOC(IOC Scan). Vous pouvez créer des tâches d'analyse IOC :
Lors de l'exécution de la tâche Analyse IOC, l'analyse des termes IOC (propriétés de l'objet IOC, par exemple, somme de hachage du fichier) est effectuée uniquement dans l'espace de noms principal du système d'exploitation. La tâche Analyse IOC ne calcule pas les sommes de hachage des fichiers de plus de 200 Mo.
Pour rechercher des indicateurs de compromission, Kaspersky Endpoint Security utilise les fichiers IOC préparés par l'utilisateur. Si vous souhaitez ajouter manuellement un indicateur de compromission, veuillez consulter les exigences du fichier IOC. Si le fichier IOC ne répond pas aux exigences, l'application ne pourra pas l'utiliser.
Les identifiants de tous les fichiers IOC utilisés dans une seule tâche d'analyse IOC doivent être uniques. Si vous téléchargez plusieurs fichiers IOC avec les mêmes ID, l'application n'utilise qu'un seul de ces fichiers IOC. Les fichiers IOC restants seront automatiquement exclus.