О задачах поиска IOC в Kaspersky Endpoint Agent

Задачи поиска IOC – это задачи, в ходе выполнения которых Kaspersky Endpoint Agent использует IOC-файлы (файлы индикаторов компрометации открытого стандарта описания OpenIOC) для поиска этих индикаторов на устройствах.

Kaspersky Endpoint Agent поддерживает три типа задач поиска IOC:

Задачи отличаются возможностями управления, доступными для настройки параметрами, а также областью действия. Описание каждого типа задач поиска IOC приведено в следующей таблице.

Типы задач поиска IOC

Тип задач

Описание задач

Область действия задач

Стандартные задачи поиска IOC

Задачи создаются и настраиваются вручную в Kaspersky Security Center или через интерфейс командной строки, без интеграции со сторонними системами.

Для запуска задач используются IOC-файлы, подготовленные пользователем.

Параметры задач не зависят от настроек в параметрах политик.

Для задач доступен режим Ретроспективный поиск IOC.

Вы можете задать следующие действия по реагированию на найденные IOC (недоступно при запуске задач из командной строки):

  • Запуск на устройстве задач проверки по требованию при помощи EPP.
  • Включение сетевой изоляции устройства.

    Просмотр отчетов доступен как в результатах выполнения задач в виде сводной таблицы, так и в карточке обнаруженных IOC.

Локальные или групповые

Автономные задачи поиска IOC

Задачи создаются автоматически, если в политике Kaspersky Endpoint Agent задано действие Запустить Поиск IOC на управляемой группе устройств по реагированию на угрозы, обнаруженные Kaspersky Sandbox.

Kaspersky Endpoint Agent автоматически формирует IOC-файл. Работа с пользовательскими IOC-файлами не предусмотрена.

Пользователю доступно ограниченное управление задачами в Kaspersky Security Center.

В политике можно задать расписание запуска задач и области поиска.

Задачи автоматически удаляются через семь дней после последнего запуска или с момента создания, если задачи не запускались.

Вы можете задать следующие действия по реагированию на найденные IOC:

  • Запуск на устройстве задач проверки по требованию при помощи EPP.
  • Помещение объекта на карантин и удаление с устройства.

    Просмотр отчетов доступен как в результатах выполнения задач в виде сводной таблицы, так и в карточке обнаруженных IOC.

Групповые

Поиск IOC по IOC-файлам, загружаемым вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform

IOC-файлы загружаются вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform. Также есть возможность настроить расписание IOC-проверки компьютеров с программой Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform.

Управление задачами с помощью Kaspersky Security Center или через командную строку не предусмотрено.

Автоматических действий при обнаружении IOC не предусмотрено.

Параметры задач не зависят от политик Kaspersky Endpoint Agent.

Не применимо

Результаты выполнения групповых задач поиска IOC доступны для просмотра в Kaspersky Security Center в течение семи дней с момента выполнения задачи или до момента удаления задачи.

В начало