Ao configurar as verificações regulares de ameaças em dispositivos ou após uma ameaça já ser detectada em um dos dispositivos de seus usuários, é possível adicionar uma ameaça a uma Verificação de IOC para que ela verifique outros dispositivos quanto a essa ameaça.
A cada verificação de IOC, é possível adicionar no máximo 200 ameaças.
Para adicionar uma ameaça a uma Verificação de IOC:
Selecione a seção Gerenciamento de segurança → Endpoint Detection and Response.
Clique no botão Verificação de IoC.
Adicione uma ameaça das seguintes maneiras:
Para adicionar uma ameaça na Verificação proativa, clique no botão Adicionar uma ameaça.
Para adicionar uma ameaça a qualquer verificação, clique no link Visualizar no respectivo bloco e, em seguida, clique no botão Adicionar.
A janela Adicionar uma ameaça é aberta.
Insira o nome da ameaça.
Caso necessário, insira a descrição da ameaça.
Em Indicadores de comprometimento (IoCs), especifique os IOCs da ameaça:
Caso planeje especificar dois ou mais IOCs, na lista Critérios de detecção, selecione os critérios de detecção (o operador lógico):
Corresponder a QUALQUER dos seguintes, caso deseje que um alerta ocorra se pelo menos um dos IOCs forem encontrados em um dispositivo (o operador lógico OR).
Corresponder a TODOS os seguintes, caso deseje que um alerta ocorra somente se todos os IOCs forem encontrados em um dispositivo simultaneamente (o operador lógico AND).
Em Indicador 1, selecione o tipo de IoC e especifique o seu valor.
Ao adicionar uma chave de registro como um IOC, comece de uma árvore de registro (por exemplo, HKEY_LOCAL_MACHINE\Software\Microsoft ). Quando você adiciona uma chave de registro como um IOC, o Kaspersky Endpoint Security for Windows verifica apenas algumas das chaves de registro.
Caso queira adicionar mais IOCs na ameaça, clique no + Adicionar um indicador e especifique outro IOC.
Para cada ameaça, é possível adicionar no máximo 100 IOCs.
Clique em Salvar para salvar as alterações.
A ameaça é adicionada na Verificação de IOC selecionada.