Настройка параметров Поиска IOC

При настройке регулярной проверки устройств на наличие угроз можно задать следующие параметры: расписание, область и автоматические действия по реагированию.

Чтобы настроить параметры Поиска IOC, выполните следующие действия:

1. Запустите Консоль Управления Kaspersky Endpoint Security Cloud.
2. Выберите раздел Управление безопасностью → Endpoint Detection and Response.
3. Нажмите на кнопку Поиск IOC.
4. Рядом с требуемым типом поиска наведите указатель на три точки по вертикали и выберите пункт Настроить параметры проверки.

   Откроется окно Параметры проверки.

5. В списке Расписание выберите требуемое значение:
   • Не указано (по умолчанию)

     Поиск IOC не выполняется.

   • Каждый день

     Поиск IOC запускаться не будет.

   • Каждую неделю

     Укажите день недели и время запуска Поиска IOC.

   Пользовательский поиск будет проводиться в указанное время в часовом поясе UTC±00:00. Превентивный поиск и Реактивный поиск будут запускаться в указанное время в часовом поясе операционной системы устройства. Если защищаемое устройство не подключено к сети в указанное время, задача будет запущена, как только устройство подключится к сети.

6. В разделе Область проверки перейдите по ссылке Изменить и укажите список устройств, на которых будет выполняться поиск индикаторов компрометации.

   Установите флажки рядом с устройствами, которые нужно добавить, и снимите флажки рядом с устройствами, которые нужно исключить. Нажмите Сохранить, чтобы сохранить изменения.

   Этот параметр доступен только для проверки с типом Пользовательский поиск. Областью действия для других типов поиска (Превентивный поиск и Реактивный поиск) являются все устройства пользователей с операционной системой Windows. Ее нельзя изменить.

   Все новые устройства, добавляемые в дальнейшем, будут автоматически включены в область проверки. Поэтому их можно исключить из области пользовательской проверки только вручную.

7. В разделе Меры реагирования выберите действия, которые будут выполняться при обнаружении указанных угроз:
   • Только обнаруживать

     Событие обнаружения угрозы добавляется в журнал событий. Никаких других действий не выполняется.

   • Обнаруживать и уведомлять

     Событие обнаружения угрозы добавляется в журнал событий. Дополнительно выполняются выбранные действия по реагированию:

     • Запустить проверку важных областей

       Kaspersky Endpoint Security для Windows проверяет память ядра, запущенные процессы и загрузочные сектора диска затронутого устройства.

     • Поместить копию объекта в карантин и удалить объект

       Kaspersky Endpoint Security для Windows сначала создает резервную копию вредоносного объекта, обнаруженного на устройстве, на случай, если впоследствии объект потребуется восстановить. Резервная копия перемещается в карантин. Затем Kaspersky Endpoint Security для Windows удаляет объект.

     • Изолировать устройство от сети

       Kaspersky Endpoint Security для Windows изолирует устройство от сети, чтобы предотвратить распространение угрозы или утечку конфиденциальной информации. Чтобы настроить продолжительность изоляции, нажмите на кнопку Параметры и выберите необходимое значение.

       Длительность изоляции является общей для всех трех типов поиска индикаторов компрометации. При изменении значения в параметрах одного типа поиска, оно распространится на остальные.
       В качестве альтернативы можно настроить продолжительность изоляции, выбрав раздел Управление безопасностью → Endpoint Detection and Response, а затем выбрав Параметры реагирования → Сетевая изоляция.

8. Нажмите Сохранить, чтобы сохранить изменения.

Параметры выбранного Поиска IOC настроены.

В начало