Настройка параметров стандартной задачи поиска IOC
Создание задачи выполняется предварительно отдельным этапом.
Если во время создания задачи, вы установили флажок Открыть окно свойств задачи после ее создания на странице Завершение создания задачи, то переходите сразу к пункту 4 приведенной далее инструкции.
В задаче поиска IOC можно указать только файл с IOC-правилами. Файлы с другими типами правил не поддерживаются в рамках задачи поиска IOC.
Чтобы настроить параметры стандартной задачи поиска IOC:
В главном окне Kaspersky Security Center Web Console перейдите в раздел Устройства → Задачи.
Чтобы открыть окно настройки параметров задачи, нажмите на имя задачи.
Выберите закладку Параметры программы.
В разделе Параметры поиска IOC настройте IOC-коллекцию, выполнив следующие действия:
В блоке параметров IOC-коллекция нажмите на кнопку Переопределить IOC-файлы.
В открывшемся диалоговом окне нажмите на кнопку Добавить IOC-файлы и укажите IOC-файлы, которые вы хотите использовать для задачи.
Для одной задачи поиска IOC можно выбрать несколько IOC-файлов.
Нажмите на кнопку ОК, чтобы закрыть диалоговое окно.
Если при создании задачи Поиск IOC вы загрузите IOC-файлы, часть из которых не поддерживается Kaspersky Endpoint Agent, то при запуске задачи программа будет использовать только поддерживаемые IOC-файлы.
Если вы хотите посмотреть список всех IOC-файлов, которые включены в IOC-коллекцию, а также получить информацию о каждом IOC-файле, выполните следующие действия:
Нажмите на ссылку с именами всех загруженных IOC-файлов в блоке параметров IOC-файлы.
Откроется окно Содержимое IOC ().
Чтобы просмотреть детальную информацию об отдельном IOC-файле, на закладке IOC-коллекция в списке файлов нажмите на имя нужного IOC-файла.
В открывшемся окне отображена информация о выбранном IOC-файле.
Чтобы закрыть окно с информацией о выбранном IOC-файле, нажмите на кнопку ОК или Отмена.
Чтобы просмотреть информацию сразу обо всех загруженных IOC-файлах, перейдите на закладку Данные IOC.
В рабочей области окна отображена информация о каждом загруженном IOC-файле.
Если вы хотите, чтобы определенный IOC-файл не использовался при запуске задачи поиска IOC, на закладке IOC-коллекция переведите переключатель рядом с его именем из положения Включить в положение Исключить.
Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Содержимое IOC ().
Если вы хотите экспортировать созданную IOC-коллекцию, нажмите на кнопку Экспортировать IOC-коллекцию.
В открывшемся окне можно задать имя файла, а также выбрать папку, в которую вы хотите его сохранить.
Нажмите на кнопку Сохранить.
Программа создаст файл формата ZIP в указанной папке.
Ретроспективный поиск IOC - это режим работы задачи Поиск IOC, при котором Kaspersky Endpoint Agent выполняет поиск индикаторов компрометации по данным, полученным за указанный пользователем интервал времени. Режим предназначен для поиска индикаторов компрометации по данным сетевой активности защищаемых устройств. Kaspersky Endpoint Agent анализирует данные в журналах операционной системы и браузеров на устройствах.
IOC (Indicator of Compromise, индикатор компрометации) – это набор данных о вредоносном объекте или действии.
Режим Ретроспективный поиск IOC доступен только для Стандартных задач поиска IOC.
В блоке параметров Ретроспективный поиск IOC включите параметр Выполнять Ретроспективный поиск IOC в интервале.
Укажите временной интервал.
Во время выполнения задачи программа анализирует данные, собранные за указанный вами интервал времени, включая границы указанного интервала (с 00:00 даты начала до 23:59 даты окончания). По умолчанию задан интервал, начинающийся в 00:00 дня, предшествующего дню создания задачи, и заканчивающийся в 23:59 дня создания задачи.
Если во время выполнения задачи Поиск IOC со включенным параметром Выполнять Ретроспективный поиск IOC в интервале программа не обнаруживает данных для анализа за указанный временной интервал, программа не информирует об этом. В этом случае программа сообщает об отсутствии индикаторов компрометации в отчете о выполнении задачи.
В блоке параметров Действия настройте ответные действия при обнаружении индикатора компрометации:
Установите флажок Принять ответные действия при обнаружении индикатора компрометации.
Установите флажок Изолировать устройство от сети, чтобы программа Kaspersky Endpoint Agent выполняла сетевую изоляцию устройства, на котором обнаружен индикатор компрометации.
Установите флажок Поместить на карантин и удалить, чтобы поместить обнаруженный объект на карантин и удалить его с устройства.
Установите флажок EPP запустить проверку важных областей на устройстве, чтобы программа Kaspersky Endpoint Agent отправляла программе EPP команду на выполнение проверки важных областей на всех устройствах группы администрирования, на которых обнаружены индикаторы компрометации.
Если включен параметр Поместить на карантин и удалить или Запустить проверку важных областей, в качестве ответных действий Kaspersky Endpoint Agent может признать обнаруженные файлы зараженными и удалить их с устройства.
В блоке параметров Защита критических системных файлов установите флажок Не выполнять действий над критическими системными файлами, если вы хотите защитить критические системные файлы от помещения на карантин и удаления при обнаружении индикатора компрометации.
Опция доступна, только если в блоке параметров Действия выбрано Поместить на карантин и удалить.
При выбранной опции, если объект оказывается критическим системным файлом, программа не выполняет никаких действий с этим объектом. Информация об этом записывается в отчете о выполнении задачи.
В разделе Дополнительно выберите типы данных (IOC-документы), которые необходимо анализировать во время выполнения задачи, и настройте дополнительные параметры поиска:
В блоке параметров Выберите типы данных (IOC-документы) для анализа во время поиска IOC установите флажки рядом с нужными IOC-документами.
В зависимости от загруженных IOC-файлов, некоторые флажки могут быть неактивными.
Kaspersky Endpoint Agent автоматически выбирает типы данных (IOC-документы) для задачи Поиск IOC в соответствии с содержанием загруженных IOC-файлов. Не рекомендуется самостоятельно отменять выбор типов данных.
Если установлен флажок Анализировать данные файлов (FileItem), нажмите на ссылку Дополнительно (FileItem) и в открывшемся окне Параметры проверки документа FileItem выберите области на дисках защищаемого устройства, в которых необходимо искать индикаторы компрометации.
Вы можете выбрать одну из предзаданных областей, а также указать пути до нужных областей самостоятельно.
Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа FileItem.
Если установлен флажок Анализировать данные WEL (EventLogItem), нажмите на ссылку Дополнительно (EventLogItem) и в открывшемся окне Параметры проверки документа EventLogItem настройте дополнительные параметры анализа событий:
Проверять только события, зафиксированные в течение указанного периода.
Если флажок установлен, во время выполнения задачи учитываются только те события, которые были зафиксированы в указанный период.
Проверять события, относящиеся к следующим каналам.
Список каналов, которые анализируются во время выполнения задачи.
Нажмите на кнопку ОК, чтобы сохранить изменения и закрыть окно Параметры проверки документа FileItem.