管理用户定义的 IOC 规则

您可以使用 IOC 文件在事件数据库和具有 Endpoint Agent 组件的计算机上搜索入侵指标。例如，如果您收到了有关当前正在传播的恶意软件的第三方信息，您可以：

1. 将包含与恶意软件相对应的入侵指标的 IOC 文件上传到 Kaspersky Anti Targeted Attack Platform。
2. 查找与所选 IOC 文件的条件相对应的事件。

   您可以查看此类事件，并且如果您希望Kaspersky Anti Targeted Attack Platform 为选定事件生成警报，您可以创建 TAA (IOA) 规则。

3. 启用自动使用选定的 IOC 文件来搜索具有 Endpoint Agent 组件的计算机上的入侵指标。
4. 如果在扫描计算机时 Endpoint Agent 组件检测到入侵指标，Kaspersky Anti Targeted Attack Platform 会生成警报。

   您可以通过按技术名称过滤在警报表中找到这些警报。

5. 配置在具有 Endpoint Agent 组件的计算机上使用 IOC 文件搜索入侵指标的计划。

在分布式解决方案和多租户模式下，IOC 文件可以有以下类型：

Kaspersky Anti Targeted Attack Platform 被用来同时保护多个组织或同一组织分支机构的基础架构的运行模式。

安装有 Central Node 组件的服务器的两层架构。此架构分配主控制服务器 （主 Central Node (PCN)）和从属服务器（从属 Central Node (SCN)）。

• 本地 — 上传到 SCN 服务器的 IOC 文件。这些 IOC 文件用于搜索连接到 SCN 服务器的 Kaspersky Endpoint Agent 主机上的入侵指标。
• 全球 — 上传到 PCN 服务器的 IOC文件。这些 IOC 文件用于搜索连接到 PCN 服务器的 Kaspersky Endpoint Agent 主机以及连接到 PCN 服务器的所有 SCN 服务器上的入侵指标。

创建 IOC 文件时，请查看您在 Endpoint Agent 角色中使用的应用程序支持的 IOC 术语列表。您可以通过从下面的链接下载文件来查看受支持的 IOC 术语列表。

Kaspersky Endpoint Agent for Windows 和 Kaspersky Endpoint Security for Windows

Kaspersky Endpoint Security 12 for Linux

Kaspersky Endpoint Security 11.4 for Linux 和Kaspersky Endpoint Security for Mac 不支持 IOC 文件。

具有高级安全官角色的用户可以将IOC 文件导入、删除或下载到计算机上，启用或禁用使用 IOC 文件搜索入侵指标，以及配置在装有 Endpoint Agent 组件的计算机上搜索入侵指标的计划。

具有安全官和安全审计员角色的用户可以查看 IOC 文件列表和有关所选文件的信息，并将IOC 文件导出到计算机。