Настройка параметров стандартной задачи поиска IOC
Здесь приведена информация для Kaspersky Endpoint Agent для Windows. Эта информация может быть частично или полностью неприменима к Kaspersky Endpoint Agent для Linux. Полную информацию о Kaspersky Endpoint Agent для Linux смотрите в справке решения, в составе которого вы используете программу: Kaspersky Anti Targeted Attack Platform или Kaspersky Managed Detection and Response.
Создание задачи выполняется предварительно отдельным этапом.
Если во время создания задачи, вы установили флажок Открыть окно свойств задачи после ее создания на странице Завершение создания задачи, то переходите сразу к пункту 4 приведенной далее инструкции.
В задаче поиска IOC можно указать только файл с IOC-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи поиска IOC.
Чтобы настроить параметры стандартной задачи поиска IOC выполните следующие действия:
В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
Чтобы открыть окно настройки параметров задачи, нажмите на имя задачи.
Выберите закладку Параметры программы.
В разделе Параметры поиска IOC настройте IOC-коллекцию, выполнив следующие действия:
В блоке параметров IOC-коллекция нажмите на кнопку Выбрать IOC-файлы.
В открывшемся диалоговом окне нажмите на кнопку Выбрать IOC-файлы и укажите IOC-файлы, которые вы хотите использовать для задачи.
Для одной задачи поиска IOC можно выбрать несколько IOC-файлов.
Нажмите на кнопку ОК, чтобы закрыть диалоговое окно.
Если при создании задачи Поиск IOC вы загрузите IOC-файлы, часть из которых не поддерживается Kaspersky Endpoint Agent, то при запуске задачи программа будет использовать только поддерживаемые IOC-файлы.
Если вы хотите посмотреть список всех IOC-файлов, которые включены в IOC-коллекцию, а также получить информацию о каждом IOC-файле, выполните следующие действия:
Нажмите на ссылку с именами всех загруженных IOC-файлов в блоке параметров IOC-коллекция.
Откроется окно IOC-коллекция.
Чтобы просмотреть детальную информацию об отдельном IOC-файле, на закладке IOC-коллекция в списке файлов нажмите на имя нужного IOC-файла.
В открывшемся окне отображена информация о выбранном IOC-файле.
Чтобы закрыть окно с информацией о выбранном IOC-файле, нажмите на кнопку ОК или Отмена.
Чтобы просмотреть информацию сразу обо всех загруженных IOC-файлах, перейдите на закладку Данные IOC-коллекции.
В рабочей области окна отображена информация о каждом загруженном IOC-файле.
Если вы хотите, чтобы определенный IOC-файл не использовался при запуске задачи поиска IOC, на закладке IOC-коллекция переведите переключатель рядом с его именем из положения Используется в положение Не используется.
Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно IOC-коллекция.
Если вы хотите экспортировать созданную IOC-коллекцию, нажмите на кнопку Экспортировать.
В открывшемся окне можно задать имя файла, а также выбрать папку, в которую вы хотите его сохранить.
Нажмите на кнопку Сохранить.
Программа создаст файл формата ZIP в указанной папке.
Ретроспективный поиск IOC - это режим работы задачи Поиск IOC, при котором Kaspersky Endpoint Agent выполняет поиск индикаторов компрометации по данным, полученным за указанный пользователем интервал времени. Режим предназначен для поиска индикаторов компрометации по данным сетевой активности защищаемых устройств. Kaspersky Endpoint Agent анализирует данные в журналах операционной системы и браузеров на устройствах.
IOC (Indicator of Compromise, индикатор компрометации) – это набор данных о вредоносном объекте или действии.
Режим Ретроспективный поиск IOC доступен только для Стандартных задач поиска IOC.
В блоке параметров Ретроспективный поиск IOC включите параметр Выполнять Ретроспективный поиск IOC в интервале.
Укажите временной интервал.
Во время выполнения задачи программа анализирует данные, собранные за указанный вами интервал времени, включая границы указанного интервала (с 00:00 даты начала до 23:59 даты окончания). По умолчанию задан интервал, начинающийся в 00:00 дня, предшествующего дню создания задачи, и заканчивающийся в 23:59 дня создания задачи.
Если во время выполнения задачи Поиск IOC со включенным параметром Выполнять Ретроспективный поиск IOC в интервале программа не обнаруживает данных для анализа за указанный временной интервал, программа не информирует об этом. В этом случае программа сообщает об отсутствии индикаторов компрометации в отчете о выполнении задачи.
В блоке параметров Действия настройте ответные действия при обнаружении индикатора компрометации:
Установите флажок Принять ответные действия при обнаружении индикатора компрометации.
Установите флажок Изолировать устройство от сети, чтобы программа Kaspersky Endpoint Agent выполняла сетевую изоляцию устройства, на котором обнаружен индикатор компрометации.
Установите флажок Поместить на карантин и удалить, чтобы поместить обнаруженный объект на карантин и удалить его с устройства.
Установите флажок Запустить проверку важных областей, чтобы программа Kaspersky Endpoint Agent отправляла программе EPP команду на выполнение проверки важных областей на всех устройствах группы администрирования, на которых обнаружены индикаторы компрометации.
Если включен параметр Поместить на карантин и удалить или Запустить проверку важных областей, в качестве ответных действий Kaspersky Endpoint Agent может признать обнаруженные файлы зараженными и удалить их с устройства.
В блоке параметров Защита критических системных файлов установите флажок Не выполнять действий над критическими системными файлами, если вы хотите защитить критические системные файлы от помещения на карантин и удаления при обнаружении индикатора компрометации.
Опция доступна, только если в блоке параметров Действия выбрано Поместить на карантин и удалить.
При выбранной опции, если объект оказывается критическим системным файлом, программа не выполняет никаких действий с этим объектом. Информация об этом записывается в отчете о выполнении задачи.
В разделе Дополнительно выберите типы данных (IOC-документы), которые необходимо анализировать во время выполнения задачи, и настройте дополнительные параметры поиска:
В блоке параметров Выберите типы данных (IOC-документы) для анализа во время поиска IOC установите флажки рядом с нужными IOC-документами.
В зависимости от загруженных IOC-файлов, некоторые флажки могут быть неактивными.
Kaspersky Endpoint Agent автоматически выбирает типы данных (IOC-документы) для задачи Поиск IOC в соответствии с содержанием загруженных IOC-файлов. Не рекомендуется самостоятельно отменять выбор типов данных.
Если установлен флажок Анализировать данные файлов (FileItem), нажмите на ссылку Дополнительно (FileItem) и в открывшемся окне Файл выберите области на дисках защищаемого устройства, в которых необходимо искать индикаторы компрометации.
Вы можете выбрать одну из предзаданных областей, а также указать пути до нужных областей самостоятельно.
Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Файл.
Если установлен флажок Анализировать данные Windows Event Log (EventLogItem), нажмите на ссылку Дополнительно (EventLogItem) и в открывшемся окне Файл настройте дополнительные параметры анализа событий:
Перечислять только события, зафиксированные в течение указанного периода.
Если флажок установлен, во время выполнения задачи учитываются только те события, которые были зафиксированы в указанный период.
Перечислять события, относящиеся к следующим каналам.
Список каналов, которые анализируются во время выполнения задачи.
Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Файл.