В дереве Консоли администрирования откройте папку Управляемые устройства.
В папке Управляемые устройства откройте папку с названием группы администрирования, в состав которой входит требуемое устройство.
В рабочей области выберите закладку Устройства.
Выберите устройство, для которого вы хотите создать локальную задачу.
Выполните одно из следующих действий:
В контекстном меню устройства выберите пункт Все задачи → Создать задачу.
В контекстном меню устройства выберите пункт Свойства и в открывшемся окне Свойства: <Название устройства> на закладке Задачи нажмите на кнопку Добавить.
В раскрывающемся списке Выполнить действие выберите элемент Создать задачу.
Выберите папку Управляемые устройства дерева Консоли администрирования, если вы хотите создать групповую задачу для всех устройств, управляемых с помощью программы Kaspersky Security Center.
В папке Управляемые устройства дерева Консоли администрирования выберите папку с названием группы администрирования, в состав которой входят требуемые устройства.
В рабочей области выберите закладку Задачи.
Нажмите на кнопку Новая задача.
Запустится мастер создания задачи.
Выберите нужную задачу и нажмите Далее.
Следуйте указаниям мастера создания задачи.
Мастер создания задачи позволяет настроить следующие параметры:
Чтобы настроить IOC-коллекцию, выполните следующие действия:
В блоке параметров IOC-коллекция нажмите на кнопку Обзор.
В раскрывшемся контекстном меню выполните одно из следующих действий:
Выберите элемент Выбрать папку, чтобы добавить группу IOC-файлов в IOC-коллекцию.
Выберите элемент Выбрать файл, чтобы добавить один IOC-файл в IOC-коллекцию.
В зависимости от вашего выбора, в открывшемся окне выполните одно из следующих действий:
Укажите путь к папке с IOC-файлами и нажмите на кнопку ОК.
Укажите путь к IOC-файлу и нажмите на кнопку Открыть.
Если при создании задачи Поиск IOC вы загрузите IOC-файлы, часть из которых не поддерживается Kaspersky Endpoint Agent, то при запуске задачи программа будет использовать только поддерживаемые IOC-файлы.
Чтобы посмотреть список всех IOC-файлов, которые включены в IOC-коллекцию, а также информацию о каждом IOC-файле, нажмите на кнопку Просмотр.
Откроется окно Выбрать папку. В этом окне можно исключить любой файл из базы, сняв флажок, расположенный рядом с именем IOC-файла.
Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Выбрать папку.
Чтобы экспортировать созданную IOC-коллекцию, нажмите на кнопку Экспортировать.
В открывшемся окне можно задать имя файла, а также выбрать папку, в которую вы хотите его сохранить.
Нажмите на кнопку Сохранить.
Программа создаст файл формата ZIP в указанной папке.
Чтобы настроить действия Kaspersky Endpoint Agent при обнаружении IOC, выполните следующие действия:
В разделе Действия установите флажок Принять ответные действия при обнаружении индикатора компрометации.
Установите флажок Изолировать устройство от сети, чтобы программа Kaspersky Endpoint Agent выполняла сетевую изоляцию устройства, на котором обнаружен индикатор компрометации.
Установите флажок Дать команду Endpoint Protection Platform на проверку важных областей, чтобы программа Kaspersky Endpoint Agent отправляла программе EPP команду на выполнение проверки важных областей на всех устройствах группы администрирования, на которых обнаружены индикаторы компрометации.
Чтобы настроить расписание запуска задач поиска IOC, выполните следующие действия:
В разделе Расписание запуска задач установите флажок Запускать по расписанию.
В списке Периодичность выберите один из следующих вариантов запуска задач поиска IOC: В указанное время, Каждый час, Каждый день, Каждую неделюили При запуске программы.
Если вы выбрали запуск задачи В указанное время, в разделе Запускать по расписанию укажите время и дату запуска задачи.
Если вы выбрали запуск задачи Каждый час, Каждый день или Каждую неделю, в разделе Запускать по расписанию настройте параметры запуска задачи:
В списке Каждый выберите периодичность запуска задачи. Например, 1 раз в день или 2 раза в неделю по вторникам и четвергам.
В списках Время и Дата выберите время и дату начала действия расписания.
Чтобы выполнить расширенную настройку расписания, нажмите на кнопку Дополнительно и выполните следующие действия в окне Дополнительно:
Если вы хотите задать максимальное время ожидания выполнения задачи, установите флажок Завершать задачу, выполняющуюся более и укажите, через сколько часов и минут задача будет автоматически завершаться.
Если вы хотите, чтобы расписание запуска задачи действовало до определенной даты, установите флажок Отменить расписание с и укажите дату окончания действия расписания.
Если вы хотите, чтобы программа при первой возможности запускала задачи поиска IOC, не выполненные вовремя, установите флажок Запускать пропущенные задачи.
Если вы хотите избежать одновременного обращения большого количества рабочих станций к Серверу администрирования и запускать задачу на рабочих станциях не точно по расписанию, а случайным образом в течение определенного интервала времени, установите флажок Запускать задачу каждые и задайте интервал запуска в минутах.
Название задачи не должно превышать 100 символов и не должно содержать специальные символы ("*<>?\:|).
Идентификаторы всех IOC-файлов, которые используются в одной задаче Поиск IOC, должны быть уникальными. Наличие IOC-файлов с одинаковыми идентификаторами может повлиять на корректность результатов выполнения задачи.
Если при создании задачи Поиск IOC вы загрузите IOC-файлы, часть из которых не поддерживается Kaspersky Endpoint Agent, то при запуске задачи программа будет использовать только поддерживаемые IOC-файлы.
Семантические ошибки и неподдерживаемые программой IOC-термины и теги в IOC-файлах не приводят к ошибкам выполнения задачи. На таких участках IOC-файлов программа фиксирует отсутствие совпадения.