洩露指示器 (IOC)是一個物件或者活動的資料集合,表明對電腦的未經授權存取(資料洩露)。例如,許多登入系統的不成功嘗試可以構成一個洩露指示器。“IOC 掃描”工作可發現電腦上的洩露指示器並採取威脅回應措施。
Kaspersky Endpoint Security 可使用 IOC 檔案搜尋洩露指示器。IOC 檔案是包含應用程式試圖匹配以計數偵測的指示器集合的檔案。IOC 檔案必須符合 OpenIOC 標準。
IOC 掃描工作執行模式
Kaspersky Endpoint Detection and Response 可讓您建立標準 IOC 掃描工作以偵測洩露的資料。“標準 IOC 掃描工作”是一個在網頁主控台中手動建立和配置的群組或本機工作。工作使用使用者準備的 IOC 檔案執行。如果您想要手動新增洩露指示器,請閱讀IOC 檔案要求。
建立 IOC 掃描工作
您可以手動建立“IOC 掃描”工作:
偵測詳情是一款用來檢視有關被偵測的威脅的整個收集資訊的工具。偵測詳情包括,例如,出現在電腦上的檔案的歷史。有關管理警示詳情的更多資訊,請參閱Kaspersky Endpoint Detection and Response Optimum 說明。
要建立 IOC 掃描工作:
工作清單開啟。
新工作精靈啟動。
加載 IOC 檔案後,您可以從 IOC 檔案檢視指示器清單。
注意:不建議在執行工作後新增或刪除 IOC 檔案。這可能會導致 IOC 掃描結果對於先前執行的工作顯示不正確。要根據新的 IOC 檔案搜尋洩露指示器,建議新增工作。
注意:Kaspersky Endpoint Security 根據載入的 IOC 檔案的內容自動選擇 IOC 掃描 工作的資料類型(IOC 文件)。不建議取消選擇資料類型。
您還可以為以下資料類型配置掃描範圍:
備足:預設情況下,Kaspersky Endpoint Security 作為系統使用者帳戶 (root) 啟動工作。
如果您啟用了建立完成後開啟工作詳情選項,則工作設定視窗會開啟。在此視窗中,您可以檢查工作參數、修改它們,或根據需要設定工作啟動排程。
工作內容視窗將開啟。
注意:確保電腦已開啟以執行工作。
因此,Kaspersky Endpoint Security 將執行搜尋電腦上的洩露指示器。您可以在工作內容的“結果”區域中檢視工作結果。您可以在工作內容中檢視偵測到的洩露指示器的有關資訊:應用程式設定 > IOC 掃描結果。
注意:IOC 掃描結果保留 30 天。在此期間之後,Kaspersky Endpoint Security 將自動移除最舊條目。
回到頁首