Работа с пользовательскими правилами IOC

Вы можете использовать IOC-файлы для поиска индикаторов компрометации на компьютерах с установленной программой Kaspersky Endpoint Agent.

Пользователи с ролью Старший сотрудник службы безопасности могут загружать, удалять, скачивать IOC-файлы на компьютер, включать и отключать поиск индикаторов компрометации по IOC-файлам, а также настраивать расписание поиска индикаторов компрометации на компьютерах с установленной программой Kaspersky Endpoint Agent.

Пользователи с ролью Сотрудник службы безопасности и Аудитор могут просматривать список IOC-файлов и информацию о выбранном файле, а также скачивать IOC-файлы на компьютер.

IOC-файлы могут быть следующих типов:

• Локальный – IOC-файлы, загруженные на сервер SCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу SCN.
• Глобальный – IOC-файлы, загруженные на сервер PCN. По этим IOC-файлам производится поиск индикаторов компрометации на хостах с программой Kaspersky Endpoint Agent, подключенных к этому серверу PCN и ко всем серверам SCN, подключенным к этому серверу PCN.

Вы можете ознакомиться со списком поддерживаемых индикаторов компрометации открытого стандарта OpenIOC, скачав файл.

В этом разделе справки Просмотр таблицы IOC-файлов Просмотр информации об IOC-файле Загрузка IOC-файла Скачивание IOC-файла на компьютер Включение и отключение автоматического использования IOC-файла при проверке хостов Удаление IOC-файла Поиск обнаружений по результатам IOC-проверки Поиск событий по IOC-файлу Фильтрация и поиск IOC-файлов Сброс фильтра IOC-файлов Настройка расписания IOC-проверки

В начало