卡巴斯基端点检测与响应 – 优选版

关于 IOC 扫描任务

2024年5月2日

ID 220373

入侵指标 (IOC) 是一组关于对象或活动的数据,表示未经授权访问设备(数据泄露)。例如,许多登录系统的不成功尝试可能构成入侵指标。IOC 扫描任务允许在设备上检测入侵指标,并采取威胁响应措施。

IOC 文件用于搜索 IOC。IOC 文件包含一组与事件的指标进行比较的指标。如果比较的指标匹配,则 EPP 应用程序将事件视为警报。IOC 文件必须符合 OpenIOC 标准。

卡巴斯基端点检测与响应 – 优选版提供以下模式来运行 IOC 扫描任务:

  • 标准 IOC 扫描任务

    在 Kaspersky Security Center Web Console 中手动创建和配置的组或本地任务。您准备的 IOC 文件用于运行任务。

  • 自主 IOC 扫描任务

    在对 Kaspersky Sandbox 检测到的威胁作出反应时自动创建的组任务。EPP 应用程序自动生成一个 IOC 文件。不支持使用自定义 IOC 文件进行操作。如果任务从未运行,则任务将在上次启动时间或创建时间后七天自动删除。有关自主 IOC 扫描任务的更多信息,请参阅 Kaspersky Sandbox 帮助

当在设备上检测到 IOC 时,卡巴斯基端点检测与响应 – 优选版会执行指定的响应操作。以下响应操作可用于检测到的 IOC:

Did you find this article helpful?
What can we do better?
Thank you for your feedback! You're helping us improve.
Thank you for your feedback! You're helping us improve.