Задачи поиска IOC – это задачи, в ходе выполнения которых Kaspersky Endpoint Agent использует IOC-файлы (файлы индикаторов компрометации открытого стандарта описания OpenIOC) для поиска этих индикаторов на устройствах.
Kaspersky Endpoint Agent поддерживает три типа задач поиска IOC:
Задачи отличаются возможностями управления, доступными для настройки параметрами, а также областью действия. Описание каждого типа задач поиска IOC приведено в следующей таблице.
Типы задач поиска IOC
Тип задач |
Описание задач |
Область действия задач |
---|---|---|
Стандартные задачи поиска IOC |
Задачи создаются и настраиваются вручную в Kaspersky Security Center или через интерфейс командной строки, без интеграции со сторонними системами. Для запуска задач используются IOC-файлы, подготовленные пользователем. Параметры задач не зависят от настроек в параметрах политик. Для задач доступен режим Ретроспективный поиск IOC. Вы можете задать следующие действия по реагированию на найденные IOC (недоступно при запуске задач из командной строки):
|
Локальные или групповые |
Автономные задачи поиска IOC |
Задачи создаются автоматически, если в политике Kaspersky Endpoint Agent задано действие Запустить Поиск IOC на управляемой группе устройств по реагированию на угрозы, обнаруженные Kaspersky Sandbox. Kaspersky Endpoint Agent автоматически формирует IOC-файл. Работа с пользовательскими IOC-файлами не предусмотрена. Пользователю доступно ограниченное управление задачами в Kaspersky Security Center. В политике можно задать расписание запуска задач и области поиска. Задачи автоматически удаляются через семь дней после последнего запуска или с момента создания, если задачи не запускались. Вы можете задать следующие действия по реагированию на найденные IOC:
|
Групповые |
Поиск IOC по IOC-файлам, загружаемым вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform |
IOC-файлы загружаются вручную через веб-интерфейс Kaspersky Anti Targeted Attack Platform. Также есть возможность настроить расписание IOC-проверки компьютеров с программой Kaspersky Endpoint Agent в веб-интерфейсе Kaspersky Anti Targeted Attack Platform. Управление задачами с помощью Kaspersky Security Center или через командную строку не предусмотрено. Автоматических действий при обнаружении IOC не предусмотрено. Параметры задач не зависят от политик Kaspersky Endpoint Agent. |
Не применимо |
Результаты выполнения групповых задач поиска IOC доступны для просмотра в Kaspersky Security Center в течение семи дней с момента выполнения задачи или до момента удаления задачи.
В начало