При работе в веб-интерфейсе программы пользователи с ролью Старший сотрудник службы безопасности и Сотрудник службы безопасности могут использовать IOC-файлы для поиска признаков целевых атак, зараженных и возможно зараженных объектов в базе событий и обнаружений, а также для проверки локальных компьютеров с установленным компонентом Endpoint Sensors.
В зависимости от режима работы программы и сервера, на который загружаются IOC-файлы, загруженные IOC-файлы могут быть одного из следующих типов:
Пользователи с ролью Старший сотрудник службы безопасности могут управлять проверкой событий по IOC-файлам: добавлять, изменять, удалять и скачивать IOC-файлы на компьютер, включать и отключать проверку событий по IOC-файлам, а также управлять параметрами проверки объектов.
Пользователи с ролью Сотрудник службы безопасности могут только просматривать информацию об IOC-файлах и скачивать IOC-файлы на компьютер.
Если вы работаете с событиями, уже обнаруженными программой ранее, повторное совпадение данных этих событий с индикаторами компрометации не всегда свидетельствует о возможном обнаружении.