使用入侵指标 (IOC) 和攻击指标 (IOA) 进行威胁搜索
Kaspersky Anti Targeted Attack Platform 使用两种类型的指示器进行威胁搜索:IOC(入侵指标)和IOA(攻击指标)。
IOC 是有关恶意对象或恶意活动的一组数据。Kaspersky Anti Targeted Attack Platform 使用符合 OpenIOC 标准的 IOC 文件,该标准是描述入侵指标的开放标准。IOC 文件包含一组与事件指标进行比较的指标。如果比较的指标匹配,应用程序将该事件视为警报。如果扫描检测到对象数据与多个 IOC 文件之间的精确匹配,则警报的可能性会增加。
IOA(也称为“TAA (IOA) 规则”)是包含系统中可疑活动描述的规则,该活动可能是针对性攻击的迹象。Kaspersky Anti Targeted Attack Platform 扫描应用程序的事件数据库,并标记与 TAA (IOA) 规则描述的行为相匹配的事件或事件链。使用流式扫描技术,对从受保护设备接收到的事件进行连续实时扫描。
由卡巴斯基专家创建的 TAA (IOA) 规则得到 TAA(针对性攻击分析器)技术的使用,与应用程序数据库一起更新。它们不会显示在应用程序的界面中,并且无法编辑。
您可以使用 OpenIOC 格式的 IOC 文件添加用户定义的 IOC和TAA (IOA) 规则,以及基于事件数据库搜索条件创建 TAA (IOA) 规则。
下表包含入侵指标 (IOC) 和攻击指标 (IOA) 的比较分析。
IOC 和 IOA 指标对比
特征 | 用户定义的 IOC 规则中的 IOC | 用户定义的 TAA (IOA) 规则中的 IOA | 卡巴斯基专家创建的 TAA (IOA) 规则中的 IOA |
---|---|---|---|
扫描范围 | 具有 Endpoint Agent 组件的计算机 | 应用程序事件数据库 | 应用程序事件数据库 |
扫描机制 | 定期扫描 | 流式扫描 | 流式扫描 |
可以被添加到扫描排除项 | 无。 | 不需要。 具有高级安全官角色的用户可以根据需要编辑自定义 TAA (IOA) 规则中的指标文本。 | 是。 |