关于 IOC 扫描任务

入侵指标 (IOC) 是一组关于对象或活动的数据，表示未经授权访问设备（数据泄露）。例如，许多登录系统的不成功尝试可能构成入侵指标。IOC 扫描任务允许在设备上检测入侵指标，并采取威胁响应措施。

IOC 文件用于搜索 IOC。IOC 文件包含一组与事件的指标进行比较的指标。如果比较的指标匹配，则 EPP 应用程序将事件视为警报。IOC 文件必须符合 OpenIOC 标准。

卡巴斯基端点检测与响应 – 优选版提供以下模式来运行 IOC 扫描任务：

• 标准 IOC 扫描任务

  在 Kaspersky Security Center Web Console 中手动创建和配置的组或本地任务。您准备的 IOC 文件用于运行任务。

• 自主 IOC 扫描任务

  在对 Kaspersky Sandbox 检测到的威胁作出反应时自动创建的组任务。EPP 应用程序自动生成一个 IOC 文件。不支持使用自定义 IOC 文件进行操作。如果任务从未运行，则任务将在上次启动时间或创建时间后七天自动删除。有关自主 IOC 扫描任务的更多信息，请参阅 Kaspersky Sandbox 帮助。

当在设备上检测到 IOC 时，卡巴斯基端点检测与响应 – 优选版会执行指定的响应操作。以下响应操作可用于检测到的 IOC：

• 从网络隔离设备。
• 运行关键区域扫描。
• 将副本移动到隔离区，并删除对象。

  卡巴斯基端点检测与响应 – 优选版和 Kaspersky Sandbox 可以自动创建 IOC 扫描任务作为威胁响应的一部分。您也可以从 Kaspersky Endpoint Security for Windows 或 Kaspersky Endpoint Agent 的警报详情窗口手动创建任务。

  有关如何运行 IOC 扫描任务的详细信息，请参阅Kaspersky Endpoint Security for Windows 帮助和 Kaspersky Endpoint Agent 帮助。