IOC スキャンタスクについて

セキュリティ侵害インジケーター（IOC）とは、デバイスへの認証されないアクセス（データ侵害）の痕跡を示すオブジェクトまたは活動に関する一連のデータです。たとえば、システムへのログインを複数回失敗すると、セキュリティ侵害インジケーターと判断される場合がなります。IOC スキャンタスクは、デバイスでセキュリティ侵害インジケーターを検索し、脅威に対するレスポンス処理を実行するのに役立ちます。

IOC の検索には IOC ファイルが使用されます。IOC ファイルには、イベントのインジケーターと比較される一連のインジケーターが含まれています。比較したインジケーターが一致する場合、EPP アプリケーションはイベントをアラートだと判断します。IOC ファイルは OpenIOC 標準に準拠している必要があります。

Kaspersky Endpoint Detection and Response Optimum では、IOC スキャンタスクの実行で次のモードを利用できます。

• 標準の IOC スキャンタスク

  Kaspersky Security Center Web コンソールで手動で作成および設定されたグループまたはローカルタスク。準備した IOC ファイルは、タスクの実行に使用されます。

• 自律型の IOC スキャンタスク

  Kaspersky Sandbox で検知された脅威に反応した際に自動的に作成されるグループタスク。EPP アプリケーションは自動的に IOC ファイルを生成します。カスタム IOC ファイルを試用する操作はサポートされていません。タスクは、そのタスクが最後に開始されてから（タスクが実行されていない場合は作成されてから）7 日が経過すると自動的に削除されます。自律型の IOC スキャンタスクの詳細は、Kaspersky Sandbox のヘルプを参照してください。

デバイスで IOC が検知されると、Kaspersky Endpoint Detection and Response Optimum は指定されたレスポンス処理を実行します。検知された IOC に対して、次のレスポンス処理を使用できます：

• デバイスをネットワークから分離する
• 簡易スキャンを実行する
• コピーを隔離に移動し、オブジェクトを削除する

  Kaspersky Endpoint Detection and Response Optimum と Kaspersky Sandbox は、脅威レスポンスの一環として IOC スキャン タスクを自動的に作成できます。Kaspersky Endpoint Security for Windows または Kaspersky Endpoint Agentの［アラートの詳細］ウィンドウから、タスクを手動で作成することもできます。

  IOC スキャンタスクの実行方法の詳細は、Kaspersky Endpoint Security for Windows のヘルプと、Kaspersky Endpoint Agent のヘルプを参照してください。