Informazioni sull'attività di scansione IOC
13 febbraio 2024
ID 220373
Un indicatore di compromissione (IOC) è un set di dati su un oggetto o un'attività che indica l'accesso non autorizzato al dispositivo (compromissione dei dati). Ad esempio, ripetuti tentativi non riusciti di accesso al sistema possono costituire un indicatore di compromissione. L'attività di scansione IOC consente di trovare indicatori di compromissione nel dispositivo e di eseguire azioni di risposta alle minacce.
I file IOC vengono utilizzati per cercare gli IOC. I file IOC contengono una serie di indicatori che vengono confrontati con gli indicatori di un evento. Se gli indicatori confrontati corrispondono, l'applicazione EPP considera l'evento come un avviso. I file IOC devono essere conformi allo standard OpenIOC.
Kaspersky Endpoint Detection and Response Optimum offre le seguenti modalità per l'esecuzione delle attività di scansione IOC:
- Attività di scansione IOC standard
Un'attività locale o di gruppo creata e configurata manualmente in Kaspersky Security Center Web Console. I file IOC preparati vengono utilizzati per eseguire le attività.
- Attività di scansione IOC autonoma
Un'attività di gruppo che viene creata automaticamente quando si reagisce a una minaccia rilevata da Kaspersky Sandbox. L'applicazione EPP genera automaticamente un file IOC. Le operazioni con i file IOC personalizzati non sono supportate. Le attività vengono eliminate automaticamente sette giorni dopo l'ultimo avvio o dopo la creazione se le attività non sono mai state avviate. Per altre informazioni sulle attività di scansione IOC autonome, fare riferimento alla Guida di Kaspersky Sandbox.
Quando viene rilevato un IOC in un dispositivo, Kaspersky Endpoint Detection and Response Optimum esegue l'azione di risposta specificata. Per gli IOC rilevati sono disponibili le seguenti azioni di risposta:
- Isola il dispositivo dalla rete.
- Esegui scansione delle aree critiche.
- Sposta la copia in Quarantena ed elimina l'oggetto.
Kaspersky Endpoint Detection and Response Optimum e Kaspersky Sandbox possono creare automaticamente attività di scansione IOC come parte di una risposta alle minacce. È inoltre possibile creare un'attività manualmente dalla finestra dei dettagli dell'avviso, in Kaspersky Endpoint Security for Windows o in Kaspersky Endpoint Agent.
Per informazioni dettagliate su come eseguire le attività di scansione IOC, fare riferimento alla Guida di Kaspersky Endpoint Security for Windows e alla Guida di Kaspersky Endpoint Agent.