Creazione di un'attività di scansione IOC dai dettagli dell'avviso

Per creare un'attività di scansione IOC dai dettagli dell'avviso:

1. Aprire i dettagli dell'avviso.
2. Nella scheda Tutti gli eventi avviso selezionare gli elementi da cui si desidera creare un'attività di scansione IOC.
3. Fare clic su Crea IOC.
4. Selezionare i criteri di attivazione per l'indicatore di compromissione:
   • Se si desidera che l'indicatore di compromissione venga attivato quando viene rilevato uno degli oggetti selezionati, selezionare O sul lato destro dello schermo.
   • Se si desidera che l'indicatore di compromissione venga attivato quando vengono rilevati tutti gli oggetti selezionati, selezionare E sul lato destro dello schermo.
5. Selezionare le azioni da eseguire quando viene attivato l'IOC:
   • Isola il dispositivo dalla rete.
   • Esegui scansione delle aree critiche.
   • Mettere una copia in quarantena ed eliminare l'oggetto.
6. Fare clic su Crea attività.

È possibile visualizzare le attività create nella sezione Dispositivi → Attività.

Quando si crea un'attività di scansione IOC per l'oggetto selezionato (file o processo) dai dettagli dell'avviso, viene automaticamente creato un IOC con il termine FileItem. Per informazioni dettagliate sulle condizioni IOC, fare riferimento alla Guida di Kaspersky Endpoint Security for Windows o alla Guida di Kaspersky Endpoint Agent.